Tii^T WELTORGANISATION FOR GE 

X Internationales I 

INTERNATIONALE ANMELDUNG VEROFFENTL 

INTERNATIONALE ZUSAMMENARBEIT AUF PI 






WO 96087 55A1 



(51) Internationale Patentklassfflkation 6 
G06F 1/00, 19/00 



Al 



(11) Internationale VerSfTentlichungsnummer: WO 96/08755 

21.Marz 1996(21.03.96) 



(43) Internationales 

Verdffentlictaungsdatum 



(21) Internationales Aktenzeichen: 

(22) Internationales Anmeldedatum: 



PCT/EP95/03597 

13. September 1995 
(13.09.95) 



(30) Priorltfitsdaten: _ 
P 44 32 533.9 13. September 1994 (13.09.94) DE 

941 18018.4 15. November 1994 (15.1 1.94) EP 

(34) Lander fur die die regionale oder 

Internationale Anmeldung eingereicht 
warden ist: AT usw. 



(71)(72) Anmelder und Erfinder: ROST, Irmgard PE/DE]; 
Niebuller Strasse 19, D-90425 NOrnberg (DE). 

(74) Anw&ite: TERGAU, Enno usw.; MBgeldorfer Hauptstrasse 51, 
D-90482 NOrnberg (DE). 



(81) Bestimmungsstaaten: AM. AT, AU, BB, BG, BR, BY, CA, 
CH. CN. CZ, DE, DK, EE, ES, FI, GB, GE, HU, IS, JP. 
KE, KG. KP, KR, KZ. LK. LR, LT, LU. LV, MD, MG, 
MN, MW, MX. NO, NZ, PL, PT, RO, RU, SD. SE, SG, 
SI, SK, TJ, TM. TT, UA, UG, US, UZ, VN, europaisches 
Patent (AT, BE, CH, DE, DK, ES, FR, GB, GR, IE, IT. LU, 
MC, NL, PT, SE), OAPI Patent (BF. BJ, CF, CG. CI, CM. 
GA, GN. ML, MR. NE, SN, TD. TG). ARTPO Patent (KE, 
MW, SD. SZ, UG). 



Veroffentllcht 

Mit internationalem Recherchenbericht. 

Vor Ablaufder JUr Anderungen der Anspriiche zugelassenen 

Frist. Veroffentlichung wird wiederholt falls Anderungen 



eintreffen. 



(54) Title: PERSONAL DATA ARCHIVE SYSTEM 

(54) Bezeichnung: PERSONENDATEN-ARCHTVTERUNGSSYSTEM 

(57) Abstract 

The invention concerns a personal data archive system with portable 
personal storage devices allowing the owner to enter and store personal 
data. Authorization checking devices are allocated to the storage devices 
and grant access to at least some of the personal data stored in the storage 
devices only in the event of a positive authorization and/or authentication. 

(57) Zusanunenfassung 

Die Erfindung betrifft ein Peisonendaten-ArcWvierungssystem mit 
transportablen, person! ic hen Speichereinrichtungen zum Speichern und Auf- 
bewahren von Personendaten beim Inhaber. Dabei sind den Speichere- 
inrichtungen Berechugungsprtfeuirkhtungen zugeordnet, mittels derer nur 
in Abhangigkeit von einer positiven Berechtigungs- und/oder Authen- 
tizitatserkennung ein Zugriff auf zumindest einige der auf den personhchen 
Speichereinrichtungen gespeicherten Personendaten freigebbar isL 





LEDIGUCH ZVR INFORMATION 
AnmeidSSS ^S^JSZ^g?***^ »* ""I*"*- der Schriften ' *■ Internationale 



AT 

AU 

BB 

BE 

BF 

BG 

BJ 

BR 

BY 

CA 

CF 

CG 

CH 

a 

CM 
CN 

CS 

ez 

DB 



Otterreich 
Aumlien 
Barbado* . 
Bclgien 
Burkina Faso 
Bulgaria 



Bratilien 
Belarus 



Zaitrmk Afrikmiichc RepubUk 

Koogo 

Schweii 

Gtod'Ivoire 



Tacfaectiiache Repobltk 



fi 




GA 

GB 

GE 

GN 

GR 

HU 

IE 

IT 

JP 

KB 

KG 

KP 

KR 

KZ 

U 

uc 

LU 
LV 
MC 

ML 
MN 



Gtboo 

Gcorpen ^ 
Guinea 
' Gncchenland 
Ungarn 
(rtand 
balien 
Japan 
Kenya 
Kirgtettttn 

DctDokntijchc VoDuirpublik Korea 

RcpuWit Korea 

Kasachtcau 



Sri I 
Luxemburg 



Monaco 
^RejpjMk^Moldau 
Madagaskar 
Mali 

Mongolei 



MR 

wm 

NE 
NL 
NO 
NZ 
PL 
PT 
RO 
RU 
SO 

SB 

SI 

SK 

SN 

TD 

TG 

TJ 

TT 

UAs 

US 

UZ 

VN 



' r Malawi^ 
Niter ~ 
Niederiuxie 



Portugal 
Rumlnieo 

Ruuttche Federation 

Sudan 

Scbwvden 

Sfawenien 

Slowakei 

Senegal 

Tacfaad 

Togo 

Tadschakfetan 
Trinidad und Tobago 

Utaawjt^^- ' - v.. 
Veremigte Staaten von Amerika 
Uzbekistan 



BNSOOCID: <WO 9808755A1 J_> 



WO 96/08755 



PCT/EP95/03597 



Beschreibung 
Personendaten-Arch ivieru ngssy stem 

5 

Die Erfindung betrifft ein Personendaten-Archivierungssystem nach dem Oberbegriff 
des Anspruchs 1 . 

In vielen Bereichen des taglichen Lebens werden persdnliche Daten bendtigt, die hau- 
10 fig jedoch nicht in gesammelter Form zur VerfQgung stehen, so daS sie fur jeden Be- 
darfsfall aufwendig zusammengesucht und -gestellt werden mGssen. Oft gehen dabei 
Informationen verloren oder bleiben unberucksichtigt. 

Lediglich exemplarisch dafur sind Patientendaten zu nennen, anhand derer nachfol- 
15 gend einige Probleme bestehender Archivierungssysteme beispielhaft dargestellt wer- 
den. 

Di medizinischen Daten eines Patienten werden von vielen Einrichtungen des Ge- 
sundheitssystems erhoben und dokumentiert. Bei der bislang praktizierten Dokumenta- 
20 tion mittels schriftlicher Eintragungen in Krankenbiatter, Karteikarten, Ausweise und 
Passe (z.B. Diabetiker-PaS) und dem bislang praktizierten Informationsaustausch uber 
die Versendung von Arzt- und Krankenhausentlassungsberichten gehen haufig wichtige 
medizinische Daten verloren. 

25 Wechselt beispielsweise ein Patient seinen Arzt, so verbleiben die vorher gewonnenen 
Daten meist in der Kartei des zuletzt behandelnden Arztes und der nachste Arzt be- 
ginnt von neuem mit seiner Datensammlung. Hinzu kommt in der modernen Medizin 
eine zunehmende Aufsplittung der arztlichen Versorgung in die verschiedenen Fach- 
disziplinen, wobei oft unter den im Einzelfall beteiligten Kollegen eine ungeniigende 

30 oder sbgar keinerlei Kommunikation erfolgt. 
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lm derzeit praktizierten Informationssystem werd n daher oftmals diagnostische MaG>- 
nahmen deswegen wiederholt, weil dem nachbehandelndem Arzt uber vorausgegan- 
gene Untersuchungen nur schriftlich aufgezeichnete Beurteilungen des VorgSngers 
vorliegen, nicht aber beispielsweise die ursprunglichen Rfintgen- oder Ultraschallbiider 
5 oder Labor- und sonstigen Me&protokolle. Auf Grund im Einzelfall unterschiedlicher 
Interpretationsmdglichkeiten mochte ein Arzt fur seine weiteren Ma&nahmen aber ver- 
stdndlicherweise nicht auf eine eigene Beurteilung von Originalunterlagen verzichten. 

Ein weiterer gravierender Nachteil des bestehenden Informationsaustausches bei Pati- 
io entendaten liegt in der Tatsache, da& wichtige medizinische Daten im Notfall oft nicht 
verfugbar sind. Zwar sind in der Vergangenheit eine Reihe von Passen und Ausweisen 
entwickelt worden, wie z.B. der Europdische Notfall-Ausweis, der Impfausweis, der 
Marcumar-Ausweis, der Allergiepaft u.a., jedoch sind in nachteiliger Weise, sofern d n 
Patienten solche Dokumente uberhaupt ausgehandigt wurden, wichtige Daten auf ver- 
is schiedene Papiere verteilt und Ihr Inhalt ist bei einem Verlust meist nicht rekonstruier- 
bar. 

Einen Fortschritt in der Informationstechnologie im Bereich des Gesundheitswesens 
konnten Patientenkarten in Form von Magnetstreifen- oder Prozessor-Chipkarten dar- 
20 stellen, die in der Lage sind, medizinische Infomnationen auf einem mobilen elektroni- 
schen Datentrdger zu speichem. So sind auch in letzter Zeit einige Kartenprojekte ent- 
standen, welche die Nutzung von Prozessor-Chipkarten zur Datenspeicherung im me- 
dizinischen Bereich zum Ziel haben. 

25 Die bisher bekannten Entwicklungen von Patientenkarten fuhren aber nicht zu einer 
wesentlichen Verbesserung der Datenbasis fur die unmtttelbare Patientenbetreuung, da 
auf Grund der begrenzten Speicherkapazitat der Prozessor-Chipkarte nur ein kleiner 
Teil der medizinischen Daten eines Patienten berOcksichtigt werden kann. So beinhal- 
tet z.B. di Diabcard (GSF Forschungszentrum fur Umw It und Gesundheit Medis- 

ao Institut, Postfach 1 129, D - 85758 Oberschlei&heim) nur fur die Diabetikerbetreuung 
relevante medizinische Daten. Bei einem anderen Modellprojekt, das von der Kassen- 
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arztlichenV reinigung Kobl nz, dem Z ntralinstitut fur die kassenarztliche Versorgung 
und der Bundesvereinigung Deutscher Apothekerverbande in den Stadten Neuwied 
und Andernach gestartet wurde ("PraxisComputer", Nr. 4, 15. 06. 94, Seiten 3 bis 6, 
und Nr. 2, 10. 03. 95, Seiten 8/9), umfa&t der auf einer Patientenkarte gespeicherte 
Datensatz neben den Anamnesedaten nur noch den Impf- und den ROntgenstatus so- 
wie vom Apotheker an Patienten abgegebene Medikamente. 

Ein weiterer bedeutender Nachteil bestehender Speicherkarten besteht darin, daS die 
gespeicherten Daten nicht wirksam gegen MiSbrauch geschQtzt sind. Eine reine Ver- 
schlOsseluhg der gespeicherten Informationen ist nicht ausreichend, da mit einem aus- 
reichend grofien Aufwand letztendlich jeder Code entschlQsselt werden kann. Im Fall 
von Patientendaten bedeutet dies, daB letztere, beim Patienten selbst aufbewahrt, 
leicht auch Unbefugten in die Hande fallen kdnnen, die die entsprechenden Informatio- 
nen nach dem Decodieren der Daten zum Nachteil des Patienten verwenden konnten. 

Aus der DE 90 18 059 U1 ist ein System zur Speicherung, Bereitstellung und Aktuali- 
si rung von festen und/oder variablen Patienten- und Behandlungsdaten bekannt. Da- 
bei wird von einer stationaren Computer-Zentraleinheit mit einer Speichereinheit, in der 
die in einer Patientenkartei vorhandenen Patientendaten in Form von patientenspezifi- 
schen Datensatzen gespeichert sind, und einer Daten-Schnittstelle zur Ein- und Aus- 
gabe von Patientendaten ausgegangen in Verbindung mit einer mobilen Einheit, wie 
etwa einem portablem Computer, der zur Aufnahme ausgewahlter Oder aller gespei- 
cherten Patientendatensatze vorgesehen ist. So kann ein Arzt auch bei Hausbesuchen 
die Informationen seiner elektronischen Patientenkartei nutzen und letztere auBer Haus 
direkt aktuell halten. Ein individueller Patientendatensatz kann Qber eine Krankenversi- 
chertenkarte aufgerufen und aktiviert werden, so daft die verwaltungstechnischen Be- 
suchsdaten direkt erfaSt werden. Wieder zurilck in seiner Praxis kann der Arzt dann die 
Daten auf seiner stationaren Computer-Zentraleinheit durch die mobile Einheit aktuali- 
sieren. 
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Der Arzt nimmt hier also seinen eigenen Datensatz zum Patienten mit, anstatt vom Pa- 
tienten selbst dessen gesammelte Daten von verschiedenen Arzten und klinischen Ein- 
richtungen zur Verfugung gesteilt zu bekommen. Arztliche Notdienste beispielsweise 
kdnhten dieses System bei unbekannten Patienten daher nicht nutzen. Es werden also 
von Anwendern und nicht von den Personen, welche die Daten betreffen, nur be- 
schrankte Daten lediglich temporar transportabel abgespeichert. 

In der DE 38 15 633 C2 ist eine Datenverarbeitungsanordnung zur zentralen Bearbei- 
tung von medizinischen Daten offenbart. Hierbei werden transportable persOnliche 
Speichereinrichtungen verwendet, die fur eine vorubergehende Speicherung von lau- 
fend erfa&ten Biodaten ausgelegt sind. Zumindest in vorgegebenen Zeitabstdnden 
werden daher die gespeicherten Daten uber eine Telefonstrecke in die Datenverarbei- 
tungsanlage eines Hospitals ubermittelt. Sicherheitsaspekte spielen bei diesen Sp i- 
chereinrichtungen daher keine Rolle, 

Die betden Druckschriften enthalten somit keine uber ubliche transportable Spei- 
chereinrichtungen hinausgehende Losungen hinsichtlich der dezentralen Archivierung 
von personlichen Daten. 

Aber auch in anderen Lebensbereichen ist die Zusammensteilung, Handhabung und 
VerfUgbarkeit von personlichen Daten aufwendig und fuhrt hdufig nicht zum angestreb- 
ten vollumfanglichen Ergebnis. Neben der oftmals nicht ausreichenden Speicherkapazi- 
tat der auf Prozessor-Chipkarten verfugbaren Datenspeicher fur die gewunschte Da* 
tenmenge besteht bei einer Speicherung auf transportablen Massenspeichern die Ge- 
fahr einer miBbrauchlichen Verwendung auf Grund einer fehlenden Zugriffsabsiche- 
rung. 

Es ist somit die Aufgabe der voriieg nden Erfindung, ein P rsonendaten-Archivierungs- 
system zu schaffen, das transportable, personliche Speichereinrichtungen zum Spei- 
chern und Aufbewahren von P rsonendat n b im Inhaber enthait und einen hcih ren 
Sicherheitsstandard als aus dem Stand der Technik bekannten Systeme ermOglicht. 
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Diese Aufgabe wird mit einem Personendaten-Archivierungssystem nach dem An- 
spruch 1 geldst. 

Durch die Erfindung ist somit bei einem gattungsgemafien Personendaten-Archivie- 
rungssystem vorgesehen, daB den Speichereinrichtungen Berechtigungsprufeinrich- 
tungen zugeordnet sind, mittels denen nur in Abhdngigkeit von einer posrtiven Berech- 
tigungs- und/oder Authentizitatserkennung ein Zugriff auf zumindest einige der auf den 
p rsOnlichen Speichereinrichtungen gespeicherten Personendaten freigebbar ist. 

Insbesondere sind durch die Erfindung die Sicherheitsnachteile des Standes der Tech- 
nik behoben. Ein DatenmiBbrauch ist zumindest weitgehend unmoglich oder wenig- 
stens in Anbetracht des erforderlichen Aufwandes unrentabel durchzufuhren. 

Dadurch, daB erfindungsgemSB ein Zugriff zumindest auf einige der Daten nur nach 
erfolgter Authentisierung und Autorisierung mOglich ist, wird sichergestellt, daB die 
mttglicherweise zusdtzlich verschltisselten Daten fur Unbefugte nicht zuganglich sind, 
um diese Daten zur Informationsgewinnung zu decodieren. 

Wenn ein solcher berechtigungsabhangiger Zugriff nicht fur sdmtliche Datenbereiche 
vorgesehen ist, kOnnen auch Daten gespeichert werden, die frei zuganglich sind, wie 
es beispielsweise fur Notfalldaten von Vorteil sein kann. 

Als weiterer wesentlicher Vorteil wird durch die Erfindung ferner die MiSglichkeit ge- 
schaffen, gr6&ere persdnliche Datenmengen dezentral mit ausreichender Sicherheit zu 
speichern, wofOr transportable Speichereinrichtungen mit grOGeren SpeicherkapazitS- 
ten in das System integriert werden kOnnen. Solange ndmlich nicht die gewunschte 
Sicherheit der gespeicherten Daten vor unberechtigtem Zugriff realisierbar war, war die 
entsprechende Speicherung solcher bedeutenden p rsOnlichen Daten im Zustdndig- 
keitsbereich jeder Person selbstaus Datenschutzgesichtspunkten nicht vernunftig 
durchfOhrbar. Erst durch die vorli gende Erfindung kdnnen nun auch groSe Datenmen- 
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g n ausr ichend g schOtzt w rden, so dad nunm hr uberhaupt erst sinnvoll an die 
Einbindung entsprechend ausreichend gro&er Speichermedien herangegangen werden 
kann, wie es beispielsweise durch bevorzugte Ausgestattungen der Speichereinrich- 
tungen der Erfindung erfolgt ist. D.h., da& es im speichertechnischen Sinn zwar grund- * 
s satzlich kein Problem darstellt, Massenspeicher fur groSe Datenmengen bereitzustel- 
len, derartige Speichermedien aber nicht selbst die fur die personlichen Daten erforder- 
liche Zug riffs sicherhe it bieten, wie sie durch die Erfindung geschaffen wurde. 

Beispielsweise kann der Zugang zu den gespeicherten Daten sowie der Umfang dieses 
io Zugangs z.B. au&er zu gespeicherten Notfalldaten ausschlieSlich vom Inhaber der 
Speichereinrichtungen bestimmt werden. 

Die Sicherheitseinrichtungen bei dem erfindungsgemaBen Personendaten-Archivie- 
rungssystem, d.h. die Berechtigungsprufeinrichtungen, konnen bei einer gegenseitigen 
is Identifizierung von Speichereinrichtungen und Zugriffsgeraten beginnen und uber die 
Registrierung einer Benutzererkennung durch die Berechtigungsprufeinrichtungen bis 
zur Nachrichtenverschlusselung und -authentifikation durch eine z.B. elektronische 
Unterschrift gehen. 

to Durch die im Erfindungsumfang enthaltenen Sicherheitsoptionen wird eine auBerst ho- 
he Datensicherhert erreicht, wie sie beispielsweise nicht nur im medizinischen Bereich 
bislang noch nicht realisiert werden konnte. 

Die Erfindung hat au&erdem den Vorteil, daB z.B. EDV-Hardware verwendet werden 
25 kann, die bereits als Massenprodukt fur einen gunstigen Preis zur Verfugung steht, was 
den finanziellen Aufwand vernunftig abschatzen I^Bt und in vernunftigen niedrigen 
Grenzen halt. Durch entsprechende Schnittstellen mit gdngigen Praxisverwaltungspro- 
grammen ist die Einbindung der vorgenannten ublichen Hardware Oder einer speziellen 
Hardware und entsprech nder Software in die vorhandene Praxis-EDV eines Arztes 
so oder einer klinischen Einrichtung leicht mfiglich, was in der Bund srepublik D utsch- 
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land z.B. Qber die vorhandene Schnlttst lie "Behandlungsdatentrager" (BDT) gewahr- 
leistet ist. 

Beispielsweise bei einer Anwendung der Erfihdung als Patientendaten-Archivierungs- 
system kann eine direkte Personalisierung und Aktualisierung relevanter Daten in der 
Arztpraxis selbst erfolgen. Bereits jetzt ist absehbar, daG> medizinische Daten zukunftig 
immer mehr primar auf z.B. digrtalen Medien erfa&t und gespeichert werden. Bei dem 

rfindungsgemaden System wird der Patient in die Lage versetzt, sich die Daten noch 
in der Arztpraxis direkt auf sein Speichermedium (Iberspielen zu lassen, insbesondere 
medizinische Daten fur Ausweisfunktionen und die Auflistung von Diagnosen und Dau- 

rmedikationen. Weitere umfangreichere Text- und Bilddaten konnen alternate zur 
Uberspielung auf die patientenspezifischen Speichereinrichtungen in der Arztpraxis in 
Personalisierungsburos digitalisiert und auf die Speichereinrichtungen geschrieben 
werden. Eventuell kann vor einer Digitalisierung eine Verkleinerung Oder sogar Mikro- 
verfilmung durchgefuhrt werden, um den Speicherplatzbedarf zu minimieren. 

Eine Alternative zu den personlichen transportablen Speichereinrichtungen k6nnte in 
der multimedialen Datenkommunikation ein allgemeiner Datenverbund in der ambulan- 
ten Medizin sein, was beispielsweise mit Hilfe der ISDN-Vernetzung realisiert werden 
konnte. Die Telemedizin wird bereits in Krankenhausern, Forschungsstatten und an 
Universitaten erprobt. Bei diesen Projekten geht es in erster Linie um Telekonsultation, 
also z.B. den Austausch von diagnostischem Bildmaterial zum Zweck der gemeinsa- 
men Befundung. Daneben gibt es in diesem Bereich noch weitere sinnvolle Perspekti- 
ven, wie die Telekommunikation im administrativen Sektor oder die Teletherapie. 

In der ambulanten Medizin sind aber vdllig andere Voraussetzungen und Ziele gege- 
ben. In der ambulanten Medizin kommt der Patient zum Arzt oder umgekehrt. Dabei 
kann der Patient problemlos als Oberbringer von Daten fungieren, wodurch keinerlei 
Kosten entstehen, wie es im Vergleich mit d r Datenvemetzung der Fall ware. Bei einer 
Dat naustauschvern tzung besteht w iterhin die G fahr, Produkte und Di nstleistun- 
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gen am technisch Machbaren auszurichten und dabei die tatsachlichen Bediirfnisse 
des Patienten aus den Augen zu verlieren. 

Bei der Telemedizin rnuB mit erheblichen Akzeptanzproblemen gerechnet werden. Der 
s Austausch von persOnlichen medizinischen Daten (iber Datenautobahnen schQrt beim 
Patienten - vielleicht nicht zu Unrecht - die Angst vor dem "glasemen Patienten". Fern r 
konnten bei einer Datenfernubertragung unautorisierte Personen eine Moglichkeit ha- 
ben, an die gespeicherten Daten zu gelangen. 

10 Es liegt aber eine weitere NutzungsmOglichkeit der vorliegenden Erfindung darin, das 
Personen- oder insbesondere Patientendaten-Archivierungssystem und die Telemedi- 
zin synergetisch zu verbinden. So konneh die persOnlichen Speichereinrichtungen, wie 
beispielsweise eine Prozessor-Chipkarte in Verbindung mit einem transportablen Mas- 
senspeicher unter Einbeziehung von geeigneten Zugriffsgeraten gleichsam als Peri- 
is pheriestation dienen und patientenbezogene Daten nach erfolgter Schreibzugriffsfrei- 
gabe von verschiedenen Quellen aufnehmen. Oder in umgekehrter Richtung kann ein 
konsiliarisch hinzugezogener Arzt Qber z.B. das ISDN-Netz auf die Daten der Spei- 
chereinrichtungen zugreifen, sobald die Berechtigungserkennung erfolgt ist. Bei einer 
noch weiteren Anwendung kann ein Patient durch ein personliches Zugriffsgerdt bei 
20 einem Anruf bei einem Arzt beispielsweise parallel zum Gesprach uber den zweiten 
Kanal des ISDN-Anschlusses dem Arzt seine Daten von den Speichereinrichtungen zur 
Verfugung stellen, wobei er mit seiner eigenen Berechtigung fur die Zugriffsfreigabe 
sorgt. 

25 Ein weiterer Vorteil der vorliegenden Erfindung liegt darin, da£J bestehende Datensy- 
steme und -strukturen problemlos ubernommen und weitergefuhrt werden konnen. Z.B. 
kann bei einem Patientendaten-Archivierungssystem durch die Ubernahme vorhande- 
ner Prot kolle fur einen Datenaustausch d r in der Bundesrepublik Deutschland bereits 
eingefuhrten Krank nkassenkart und des zugehdrig n Lesegerdts ein frei zugangii- 

30 cher B reich d r Speichereinrichtungen - vorzugsweise eine als ine Art Text- oder 
Textaufzeichnungskarte fungierend Prozessor-Chipkarte - im Empfangsb reich jeder 
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Arztpraxis oder in der Aufnahm station jedes Krankenhauses in Deutschland gelesen 
werden. Der Zugriff auf die Notfalldaten ist zumindest gegen einen Zugriff durch Arzte 
nicht geschOtzt, so da IS diese Daten auch bei Bewustlosigkeit des Patienten zuganglich 
sind. Alternate kann als gewisser Schutz der Notfalldaten eine Zugriffsgerateidentifika- 

s tion eingebaut sein, wobei Arzte und Rettungsdienste dann zweckmaBigerweise Qber 
geeignete Zugriffsgerate verfQgen. Hierbei bezieht sich die Authentizitatsprufung bzw. 
der Authentizitasnachweis auf z.B. das Lesegerat selbst. Die Prozessorkarte, die ein 
Beispiel fur einen geeigneten Speichereinrichtungsteil ist, ermittelt in diesem Fall also 
bedienerunabhangig. ob das jeweilige Lesegerat zugriffsberechtigt ist. Diese so gearte- 

to te Prflfung kann auch fur andere Datenbereiche als den Notfalldatenbereich verwendet 
werden. 

Eine andere Mfiglichkeit, die Daten, die die Versorgung fQr den medizinischen Notfall 
betreffen in in einer Notsituation nicht hinderlicher Weise zu schutzen, so daS sie nur 

is einem bestimmten Personenkreis ohne groBen Aufwand zuganglich sind. besteht in 
einer Arztkarte, durch die eine entsprechende Zugriffsfreigabe erreicht wird. Mit der 
Arztkarte oder allgemein einer "Profikarte" oder Berechtigungskarte kann sich eine per 
se zugriffsberechtigte Person gewissermaSen z.B. in ein Lesegerat einloggen. Bis zum 
Ausloggen der Person konnen Qber das Lesegerat die soweit freigegebenen Daten auf 

20 den Speichereinrichtungen gelesen werden. Somit kann personenbezogen die Zu- 
griffsberechtigung medizinischer Leistungsbringer geregelt werden. 

In jedem Fall (auch dem vorher geschilderten) wird auf der beispielsweise als ein Teil 
der Speichereinrichtungen vorgesehenen Prozessorkarte nach einem Zugriff vermerkt. 

2 5 mit welchen Lesegerat bzw. mit welcher Profikarte auf die Prozessorkarte zugegriffen 
wurde. So kann z.B. das Lesegerat eines bestimmten Krankenwagens ermittelt werden, 
Qber das ein Zugriff ausgefuhrt wurde. Ober den Dienstplan kann dann der Name des 
verantwortlichen Arztes ermittelt werden. Verlfluft ine Authentizitatsprtifung positiv. so 
erfolgt auch gleichzeitig die Autorisierung fQr einen Speicherzugriff durch z.B. die Pro- 

% zessorkarte selbst. 
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Nur dL sonstigen Dat n z.B. der Textkarte und iner Bild- Oder Bildaufzeichnungskarte 
als Massenspeicher. die durch einen Massenspeicher gebildet ist, konnen beispiels- 
weise erst nach Eingabe einer nur dem Patienten bekannten, persfinlichen Identifikati- 
onsnummer (PIN) abgerufen werden. Die Eingabe der PIN erfolgt durch den Pati nten 
uber eine separate Zahlentastatur im Sprechzimmer des Arztes. Auf z.B. der Prozes- 
sorkarte als einerseits Berechtigungseinrichtungsbestandteil und andererseits Sp i- 
chereinrichtungsteil ist gewissermaBen ein Inhaltsverzeichnis der gesamten Spei- 
chereinrichtungen hinterlegt. 

Aktuelle Untersuchungsbefunde, wie Labor- Oder Blutdruckwerte, Daten fur Vor- und 
Nachsorgeuntersuchungen. Passe usw. k6nnen jederzeit vom behandelnden Arzt di- 
rekt in der Sprechstunde zur laufenden Dokumentation erganzt werden. Ferner kennen 
z.B. Krankenkassen Updates versenden, die mittels eigenen Geraten, beim Arzt od r 
bei der Krankenkasse installiert werden konnen. Diese Daten kOnnen auf einem Mas- 
senspeicher beispielsweise in verschliisselter Form voriiegen. Nur durch einen chipkar- 
ten-gestutzten oder -freigegebenen Zugriff sind bei einem AusfQhrungsbeispiel diese 
Daten entschliisselbar, wofur wegen der eventuell sehr grofien Datenmenge ein Co- 
prozessor als Kryptoeinheit eingesetzt wird. die z.B. ebenfalls auf der Chipkarte ange- 
ordnet ist. 

GemaB einer vorteilhaften Weiterbildung der Erfindung kann mittels den Berechti- 
gungsprQfeinrichtungen eine Mehrzahl von Prufstufen ausfuhrbar sein. Der damit er- 
zielbare Vorteil liegt darin, daU die gespeicherten Daten abgestuft vor unberechtigten 
Zugriffen geschQtzt werden konnen. So kann es beispielsweise wiinschenswert sein, 
daG zumindest im eigenen Beisein ein Apotheker auf Informationen betreffend bisher 
verabreichte Medikamente zugreifen kann, ein Sachbearbeiter einer Bank bei einem 
Bankwechsel Dauerauftrags- und Einzugsermachtigungsdaten in die Datenbank des 
neuen Instituts Oberfahrt, ein Taxifahrer sich die exakt bezeichnete Zieladresse auf sei- 
nem Display anzeigen lass n kann, urn nicht durch einen Verstandigungsfehler zu ei- 
nem falschen Ziel zu fahren oder das Ziel nicht zu kennen. usw. 
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Bei einer bevorzugten Ausgestaltung der Erfindung enthaKen die Speichereinrichtun- 
gen zumindest teilweise ein zum Hinzufugen und/oder Andern von Personendaten be- 
schreibbares und insbesondere wiederbeschreibbares Speichermedium. Damit kfinnen 
in vorteilhafter Weise die gespeicherten Infomnationen problemlos aktuell gehalten wer- 
den, ohne bei Datenanderungen oder -hinzufugungen immer wieder neue komplette 
Speichereinrichtungen herstellen zu mQssen, was im Hinblick auf eine moglichst gro&e 
Sicherheit in Abhangigkeit von konkreten Anwendungsfailen aber auch Vorteiie hat. Ein 
wiederbeschreibbares Speichermedium hat den Vorteil, daS der vorhandene Spei- 
cherplatz optimal genutzt werden kann, da keine unndtigen oder veralteten Daten ge- 
speichert bleiben. Ein einmalig beschreibbares Speichermedium hat den Vorteil. daS 
Daten nicht versehentlich geldscht werden und dabei unwiederbringbar verloren gehen 
konnen. 

Dadurch, daB die Berechtigungsprufeinrichtungen zum Freigeben eines Lese- und/oder 
Schreibzugriffs auf das beschreibbare Speichermedium in Abhangigkeit von einer ins- 
besondere entsprechenden Berechtigungs- und/oder Authentizitatserkennung ggf. in 
einer zugehdrigen Priifstufe ausgelegt sind, kann vorteilhaft sichergestellt werden, daB 
die Zugriffsberechtigung mttglichst praxisgerecht handhabbar ist. Dasselbe trifft fur den 
Fall zu, daQ> zumindest ein Teil des beschreibbaren Speichermediums schreibgeschutzt 
oder schreibschutzbar ist, wie bei einer Weiterbildung der Erfindung vorgesehen ist. 

Wenn die Speichereinrichtungen einen ersten Teil und zumindest einen zwerten Teil mit 
insbesondere unterschiedlichen Speicherkapazitaten enthatten, wird eine Grobeintei- 
lung derzu speichernden oder gespeicherten Daten mdglich, wobei z.B. ein kleiner, 
schneller Speicher fur haufig genutzte Daten und ein gro&er, langsamer Speicher fur 
selten bentttigte groBe Datenmengen mit Vorteil einsetzbar ist. Ferner kann ein Spei- 
cher fur die Entscheidungsfindung der Berechtigungsprufeinrichtungen erforderliche 
Informationen enthalten, wodurch auch d r and re Sp ich r geschQtzt wird. 

Bei einer bevorzugten AusfQhrungsform der Erfindung ist der erste Teil der Sp i- 
chereinrichtungen kapazitatsma&ig am kleinsten und ein Ausweis-, Identifikations- oder 
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Stammdatenspeicherteil. Praktischerweise kann gemaa einer Weiterbildung dieser 
AusfOhrung auf die auf dem ersten Teil der persiinlichen Speichereinrichtungen ge- 
speicherten Personendaten, wie Ausweis-, Identifikations- Oder Stammdaten, unab- 
hangig von den BerechtigungsprOfeinrichtungen oder mit einer positiven Berechti- 
gungs- und/oder Authentizitdtserkennung in einer ersten Prufstufe der Berechtigungs- 
prufeinrichtungen zugegriffen werden. Damit steht ein Speicher zur Verfugung, der z.B. 
zum Speichern von Notfalldaten geeignet ist, die auch ohne Mitwirkung des Inhabers 
zugSnglich sein soltten. 

Eine besonders bevorzugte Ausfuhrungsform der Erfindung ist dergestalt, da& nur in 
Verbindung mit wenigstens dem ersten Teil der Speichereinrichtungen auf zumindest 
einen zweiten Teil der Speichereinrichtungen zugegriffen werden kann. Dies ist eine 
besonders sichere Struktur, um einen unbefugten Zugriff auf die Informationen im 
zweiten Teil der Speichereinrichtungen auszuschlie&en. 

In weiterer Ausgestaltung beispielsweise der vorstehenden Ausfuhrungsform ist erfin- 
dungsgemaa bevorzugt, dad der zweite, relativ zum ersten Teil kapazitdtsma&ig gr6G>e- 
re Teil der Speichereinrichtungen ein Detaildatenspeicherteil ist, dessen Inhalt somit 
besonders sicher ist. Diese Sicherheit kann weiter dadurch erhoht werden, da a auf di 
auf dem zweiten Teil der personlichen Speichereinrichtungen gespeicherten Personen- 
daten, wie Detaildaten, nur in Abhdngigkeit von einer positiven Berechtigungs- 
und/oder Authentizitatserkennung ggf in einer zweiten PrGfstufe mittels der Berechti- 
gungsprufeinrichtungen zugreifbar ist. 

Eine weitere besonders bevorzugte Realisierung der Erfindung besteht darin, da& die 
wenigstens ersten und zweiten Teile der Speichereinrichtungen durch separate erste 
bzw. zweite Speichervorrichtungen insbesondere auf verschiedenen ersten bzw. zwei- 
ten Datentrdgern gebtldet sind. Die raumliche Trennung der Speichereinrichtungsteile 
insbesondere auf separaten Datentrdg rn tragt in vorteilhafter und besonders einfach r 
W isezuein rhohenSich rh it des erfindungsgemaS n Systems bei, da es dadurch 
mOglich ist, den Dat ntrSger mit den kritisch ren Daten sich r aufzub wahren, solang 
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er nicht benGtigt wird, was m ist relativ selten der Fall ist. Ferner kann das System so 
eingerichtet sein, wie weiter oben angegeben ist, daB auf den zweiten Speichereinrich- 
tungsteil nur in Kombination mit dem ersten Speichereinrichtungsteil zugegriffen wer- 
den kann. Wird somit dafiir gesorgt, daB nicht beide Speichereinrichtungsteile gemein- • 
sam abhanden kommen kOnnen, sind die Daten auf dem zweiten Speichereinrichtungs- 
t il absolut sicher. 

GemSB bevorzugten AusfQhrungen der Erfindung ist der erste Teil der Speichereinrich- 
tungen bzw. die erste Speichervorrichtung eine magnetische, magneto-optische Oder 
optische Speicherftache Oder ein Speicherchip insbesondere auf oder in einer vor- 
zugsweise etwa scheckkartengroBen Kunststoffkarte als Datentrager. Femer ist der • 
zw ite Teil der Speichereinrichtungen bzw. die zweite Speichervorrichtung bevorzugt 
ein elektronischer. magnetischer (z.B. Diskette oder Streamer-Tape), magneto-opti- 
scher oder optischer (z.B. CD-ROM ggf. beschreibbar oder WORM: "Write Once Read 
Many") Massenspeicher insbesondere in Form einer 2,5 oder 3,5 Zoll groBen Diskette 
oder ein Halbleiterspeicher einer PCMCIA-Einheit (Personal Computer Memory Card 
International Association) als Datentrager. Als eine derartige Kombination kdnnen bei- 
spielsweise eine Prozessor-Chipkarte mit den BerechtigungsprOfeinrichtungen und ei- 
nem kleineren Speicher und eine MO- (magneto-optische) Platte zur Speicherung gro- 
B r Datenmengen einschlieBlich Bildern kombiniert eingesetzt werden, wobei der Zu- 
griffsschutz der MO-Platte durch die Prozessor-Chipkarte erfolgt, fQr einen Zugriff auf 
die MO-Platte also zumindest die Prozessor-Chipkarte vorhanden sein muB. 

Die Verteilung z.B. medizinischer Informationen auf beispielsweise eine Prozessor- 
Chipkarte und ein Massenspeichermedium gewahrleistet einen per se abgestuften Da- 
t nzugang und somit eine hohe Sicherheit, die weiterhin dadurch erhfiht wird. daB die 
Chipkarte gewissermaBen als Schlussel einerseits fQr einen Zugriff auf die auf ihr selbst 
g speicherten Daten und anderers its auf das Massenspeichermedium fungiert. Zu- 
satzlich kdnnen auch noch di Daten auf dem Massenspeicherm dium verschlusselt 
sein, urn eine noch habere Sicherheit zu gewShrleisten. 



: <WO 96087SSA1J_> 



WO 96/08755 



PCT/EP95/03597 



-14- 

Als Prozessor-Chipkarte, di b i der vorstehend beschrieben n Kombination mit einem 
Massenspeicher als 'Textkarte" fungiert, kann eine Prozessorkarte entsprechend den 
geltenden DIN-Vorschriften Oder ISO-Standards mit einer Speicherkapazitat von acht 
oder sechszehn Kilobytes verwendet werden, was bei einer Komprimierung der darauf 

s zu speichernden Daten eine ausreichende Inforrnationsmenge fur Notfaile und Ob r- 
sichten ermoglicht Der Massenspeicher, der auch als "Bildspeicher" bezeichnet wer- 
den kann, hat als Minidisk oder magneto-opische Platte (MO-Platte) beispielsweise ei- 
ne Kapazitat von 140 Megabyte oder sogar bis zu 650 Megabyte. MO-Platten sind mit 
2,3 oder 3,5 Zoll relativ klein und handlich und konnen ausreichend gro&e Datenmen- 

10 gen aufnehmen. Hinzu kommt, dad die Daten auf einer MO-Platte beliebig oft uber- 
schrieben, aber unter Alltagsbedingungen nicht versehentlich geloscht werden k6nnen. 

Die Textkarte speichert in Schriftform vorliegende Informationen und leistet durch eige- 
ne "Intelligent den Zugriffsschutz fQr beide Datentrager beispielsweise unter Einbezi - 

is hung von Verschlusselungsalgorithmen, wahrend die Btldkarte die Speicherung von 
grolien Datenmengen Gbernimmt, also von Abbildungen (Rttntgen-, Ultraschall- und 
Endoskopiebilder usw.), von Biosignalen (z.B. EKG, EEG) oder auch von Texten zur 
Anamnese, die auf der Prozessorkarte keinen Platz mehr finden. Insbesondere kann 
die Textkarte bei einem Patientendaten-Archivierungssystem Informationen, wie Ver- 

20 waltungsdaten, einen Notfall-Ausweis, Anamnese, Befund, Vor- und Nachsorge sowie 
einen PaQ> u.d. enthalten. 

Fur die Erfindung kommt es jedoch nicht darauf an, ob und ggf. wie die Speichermedi- 
en zusammengesetzt sind, sondern nur darauf, daQ> ein wirksamer Zugriffsschutz reali- 

25 siert ist. Beispielsweise kann ein optischer Speicher mit sehr grower Kapazitat auch als 
einziger Speicher verwendet und auf einer etwa scheckkartengroBen Kunststoffkarte 
untergebracht werden. Durch physikaiisches Lochbrennen sind beispielsweise Spei- 
cherkapazitaten im Bereich von 1 Gigabyte pro cm 2 Kunststoffolie als Datentrager mog- 
lich, so daft bezQglich einer so ausgestalteten Karte externa Mass nspeicher unnotig 

u sind. 
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Ein vorzugsweiser Aufbau der Erfindung besteht darin, daG zumindest einem Teil d r 
Speichereinrichtungen Prozessoreinrichtungen zugeordnet sind f die vorzugsweise auf 
dem DatentrSger, wie z.B. einer Kunststoffkarte, angeordnet sind und insbesondere 
einen Prozessor enthalten. Besonders vorteilhaft konnen derartige Prozessoreinrich- 
tungen fur die Berechtigungsprufeinrichtungen genutzt werden. Die Prozessoreinrich- 
tungen gewShrleisten dabei durch eine eigene "Intelligent den Zugriffsschutz fur die 
Speichereinrichtungen. Dabei ist weiterhin bevorzugt, dafc die Prozessoreinrichtungen 
zur Steuerung von zumindest Teilen der Speichereinrichtungen und/oder zur wenig- 
stens teitweisen Steuerung von Zugriffen auf letztere und/oder insbesondere als Teil 
der Berechtigungsprufeinrichtungen ausgelegt sind. 

Zur Erhbhung der Datensicherheit ist es ferner von Vorteii, wenn den Speichereinrich- 
tungen Kryptoeinrichtungen vorgeschaltet sind, deren Betrieb insbesondere mittels der 
Berechtigungsprufeinrichtungen zur Bearbeitung von Zugriffen auf die Speichereinrich- 
tungen freigebbar ist. D.h. t dad ein Ver- und Entschlusseln der gespeicherten Daten 
von einer Zugriffefretgabe durch die Berechtigungseinrichtungen abhSngt. Bevorzugt 
sind die Kryptoeinrichtungen in ggf. vorhandehen Prozessoreinrichtungen enthalten 
und weisen vorzugsweise einen Kryptoprozessor auf. 

W nn ein Teil der Speichereinrichtungen und/oder die Berechtigungsprufeinrichtungen 
auf einer Prozessor-Chipkarte reafisiert sind, kann beispielsweise letztere auch eine 
Kryptoeinheit aufnehmen. Prozessoreinrichtungen kSnnen aber auch ganz oder teilwei- 
se in einem ZugriffegerSt oder in zugeordneten Rechnereinrichtungen untergebracht 
sein. 

Allgemein kOnnen Kryptoeinrichtungen z.B. ein asymmetrisches VerschlQsselungsver- 
fahren (RSA) verwenden. 

Um zu verhindem, da& unerwunschte Kopien der gespeicherten Daten angefertigt wer- 
d n kdnn n, sieht eine Fortbildung d r Erfindung vor f dafi Kopierschutzeinrichtung n 
vorgeseh n sind, mittels denen ein Sp ich rn von zumindest inigen Daten f die auf 
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den p rsOnlichen Speichereinrichtungen, insbesond re ggf. deren zweiten Teil, gespei- 
chert sind, auf bezuglich letzteren externen Speichern unterbindbar ist und/oder in 
Speichern von zumindest einigen Daten, die auf dem ersten Teil der Speichereinrich- 
tungen gespeichert sind, auf bezuglich letzteren externen Speichern zulaQbar sind. 
5 Letzteres ermfiglicht z.B. die problemlose Obernahme von Patientenname, -adresse 
und Krankenkassendaten fur die Rezeptausstellung und Behandlungsabrechnung. 

In dhnlicher Weise wirken Druckausgabeschutzeinrichtungen, die vorgesehen sein 
kOnnen und mittels denen eine Druckausgabe von zumindest einigen Daten unterbind- 
10 bar ist, die auf den persOnlichen Speichereinrichtungen, insbesondere ggf. deren 
zweiten Teil, gespeichert sind und/oder ein Drucken von zumindest einigen Daten zu- 
la&bar ist, die auf dem ersten Teil der Speichereinrichtungen gespeichert sind. Letzte- 
res ermOglicht eine problemlose Erstellung z.B. eines schriftlichen Behandlungsberichts 
fur einen Arzt. 

15 

Um zu verhindem, daB die einer Person genehmigte Einsichtnahme in die Daten durch 
Harware-Einrichtungen gleichzeitig unbeabsichtigt beispielsweise uber zusdtzliche Bild- 
schirme oder mittels Netzwerkkarten sogar andere Rechner auch weiteren Person n 
zuganglich sind, sollten Ausgabebeschrankungseinrichtungen vorgesehen sein, mittels 
20 denen eine Ausgabe von zumindest einigen Daten, die auf den personlichen Speicher- 
einrichtungen, insbesondere ggf. deren zweiten Teil, gespeichert sind, auf mehr als ein 
Ausgabemedium unterbindbar ist. 

Um jedoch willentliche Kopien, Druckausgaben und Mehrbildschirmanzeigen, Netz- 
25 werkubertragungen etc. der aufgerufenen Daten zuzulassen, kOnnen die entsprechen- 
den vorgenannten Schutzeinrichtungen mittels der Berechtigungsprufeinrichtungen 
durch eine entsprechende positive Berechtigungs- und/oder Authentizitatserkennung 
ggf. in ein r zugehorigen Prufstufe n utralisiert werden. 

ao Eine einfache, schnelle und wirkungsvolle Sicherungseinrichtung besteht darin, da& die 
B rechtigungspriif inrichtungen ausgelegt sind, G ratekennungen von Zugriffsgerat n 



BNSOOCID: <WO_0608755A1J - > 



WO 96/08755 



PCT/EP95/03597 



-17- 

fiir die Handhabung der Speichereinrichtungen in eine Prufung zur Berechtigungs- 
und/oder Authentizitatserkennung ggf. zur Erfullung einer insbesondere ersten Prufstu- 
fe einzubeziehen. Eine derartige Berechtigungsprtifung kann z.B. fur eine Zugriffsfrei- 
gabe auf Notfalldaten ausreichend sein und durch Bereitstellen entsprechender Zu- 
griffegerate fur Notdienstpersonal oder -fahrzeuge sicher realisiert werden. 

Zusatzlich oder alternativ kOnnen die persenlichen Speichereinrichtungen Kennungen 
aufweisen, die von den Berechtigungsprufeinrichtungen in eine Prufung zur Berechti- 
gungs- und/oder Authentizitatserkennung ggf. zur Erfullung einer insbesondere ersten 
Prufstufe einbeziehbar sind. Damit kann beispielsweise sichergestelK werden, da& es 
sich nicht um gefaischte Speichereinrichtungen handelt, deren falsche Daten im medi- 
zinischen Bereich zu einer gefahrlichen Fatschbehandlung fuhren kdnnen. Auch daran 
ist deutlich zu sehen t wie wichtig z.B. im Bereich der Patientendatenarchivierung die 
zuver&ssige Bereitstellung der richtigen Daten ist. 

Die bei der vorliegenden Erfindung bevorzugt eingesetzten Sicherheitskomponenten 
sind Benutzer- und/oder Inhaberidentifikationen von zumindest einem Anwender bzw. 
dem Inhaber, dessen Daten in den Speichereinrichtungen archiviert sind. Derartige 
Kennungen werden von den Berechtigungsprufeinrichtungen vorzugsweise in eine 
Prtifung zur Berechtigungs- und/oder Authentizitatserkennung ggf zur Erfullung einer 
insbesondere zweiten PrGfstufe und ggf. weiterer Prufstufen zur Freigabe eines Zugriffs 
auf zumindest einige der auf den persflnlichen Speichereinrichtungen gespeicherten 
Personendaten einbezogen. 

Besonders einfache Mdglichkeiten zur Eingabe von Anwenderkennungen, wie eine Be- 
nutzer- bzw. Inhaberidentifikation, fQr die Berechtigungsprufeinrichtungen erfolgt iiber 
manuelle und/oder elektronische Eingaben, wie beispielsweise von einer Berechti- 
gungskarte. 

Um jederzeit vorgenommene Informationszugriffe und Eintrage personell zuordnen zu 
kOnnen, ist es vorteilhaft, wenn durch die Berechtigungsprufeinrichtungen zugelassene 
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Zugriffe auf den Sp icher inrichtungen mit den dafOr r I vanten Daten, wie Gerat ken- 
nungen von Zugriffsgeraten und/oder Benutzer- und/oder Inhaberidentifikationen, ins- 
besondere auf den Speichereinrichtungen selbst dokumentierbar sind. 

s Um dem Inhaber der Speichereinrichtungen die darin oder darauf enthaltenen Informa- 
tionen zugangiich zu machen, oder um ihm selbst Aktuaiisierungen zumindest bestimm- 
ter Oaten zu erm6g lichen, sind bei einer vorzugsweisen Ausgestaltung des erfindungs- 
gema&en Systems personliche Zugriffsgerdte vorgesehen, mittels denen vom Inhaber, 
dessen Daten in den Speichereinrichtungen archiviert sind, und/oder von Anwendern 

io der Speichereinrichtungen in Abhdngigkeit von einer insbesondere entsprechend n 
Berechtigungs- und/oder Authentizitatserkennung ggf. in einer zugehorigen Prufstufe 
auf zumindest einige der archivierten Daten zum Zweck der Information, Datenande- 
rung/-erganzung und/oder Weitergabe auch Qber DatenfernObertragung zugreifbar ist. 
Damit konnen z.B. auch bei telefonischen Beratungen, Vereinbarungen, Bestellungen 

is etc. erforderliche Daten problemlos dem Gesprachspartner zur Verfugung gestellt wer- 
den. Eine derartige DatenfernObertragung wird z.B. durch das zweikanalige ISDN-Netz 
begOnstigt, in dem ohne weiteres die Gesprachs- und die Datenubertragung gleichzei- 
tig mOglich sind. 

20 FQr Kunden-, Patienten- und Mandantenbesuche einerseits und die Arbeit in der Firma, 
Praxis bzw. Kanzlei andererseits ist es weiter von Vorteil, wenn mobile und/oder statio- 
nare Zugriffsgerdte vorgesehen sind, mittels denen von Anwendern in Abhangigkeit von 
einer insbesondere entsprechenden Berechtigungs- und/oder Authentizitatserkennung 
ggf. in einer zugehiirigen Prufstufe auf zumindest einige der archivierten Daten zum 

2 5 Zweck der Information und/oder DatenanderungZ-ergSnzung zugreifbar ist. Dadurch 
kann das System uberall und jederzeit einsatzbereit gehalten und konnen z.B. auch 
Rettungsfahrzeuge. Polizeifahrzeuge usw. problemlos so ausgestattet werden, da& 
eine Nutzung der gespeicherten Information n an jeglichem Einsatzort mSglich ist. 

ao FOr di Kost n der Zugriffsg rate ist es von Vorteil, da& letztere beispielsweise grund- 
satzlich fOr einen Schreib- und/oder Lesezugriff ausg legt sind, wobei zumindest auf 



BNSOOCID: <WO 9608755A1_L> 



WO 96/08755 



PCT/EP95/03597 



-19- 

inige der auf den pers6nlichen Sp ichereinrichtungen gespeicherten Personendaten 
eben in Abhangigkeit von einer insbesondere entsprechenden Berechtigungs- und/oder 
Authentizitatserkennung ggf. in einer zugehorigen Priifstufe zum Schreiben und/oder 
Lesen zugegriffen werden kann. 

Fur die bereits weiter oben angegebene besonders einfache BerechtigungsQberprQfung 
ist vorgesehen, da& die Zugriffsgerate Gerfltekennungen aufweisen, die von den Be- 
r chtigungsprufeinrichtungen zur PrQfung einer Berechtigungs- und/oder Authentizi- 
tats rkennung ggf. zur Erfullung einer insbesondere ersten Priifstufe erfa&bar sind, und 
da& die Geratekennung vorzugsweise durch eine in zumindest ein Zugriffsgerat ein- 
gebbare Anwenderkennung aktivierbar ist. 

Das System kann besonders kostengunstig und einfach aufgebaut werden, wenn zum 
Ansteuem der Zugriffsgerate herkommliche Rechnereinrichtungen, wie PCs, vorgese- 
hen sind. Weiterhin wird ein gunstiger Aufbau des erfindungsgemaBen Personendaten- 
Archivierungssystems dadurch gefdrdert, daB die Zugriffsgerate entsprechend den 
Formaten von die Speichereinrichtungen aufnehmenden Datentragern Kartenlesegera- 
te fur z.B. Magnetstreifen- Oder Chipkarten, Diskettenlaufwerke fur z.B. magnetische, 
magneto-optische oder optische Disketten, CD-ROM-Laufwerke und/oder Aufnahmen 
fQr PCMCIA-Einheiten enthalten, wie sie insbesondere weitverbreitet angeboten wer- 
den. Ein Sicherheitsrisiko entsteht dadurch nicht, da die Datensicherhe'rt durch die Be- 
rechtigungsprufeinrichtungen gewahrleistet wird. Ferner konnen herkommliche Rech- 
nereinrichtungen, einschlieSlich wenigstens Bildschirm, Tastatur und Drucker, kosten- 
gunstig als Anzeige- und Ein-/Ausgabegerate von paten vorgesehen werden. 

Eine besonders effiziente, sichere und zuveriassige Ausgestaltung der Zugriffsgerate 
sowie ein entsprechender Betrieb des Systems nach der Erfindung besteht darin, daB 
zumindest zwei Zugriffsgerate zur Zusammenschaltung von entsprechenden Datentra- 
gern d r Speichereinrichtungen insbesonder zu einem Gesamtgerat kombiniert sind 
und di se Zusamm nschaltung von den Berechtigungspruf inrichtungen zum B r chti- 
gungsnachweis oder ggf. ais ine erst Priifstuf erfaftbar ist. Beispielsweise kann in 
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kombini rtes Zugriffsgerat fur eine Prozessor-Chipkarte und inen Mass nsp icher als 
Bestandteile der Speichereinrichtungen vorgesehen werden. Die Berechtigungspru- 
feinrichtungen kttnnen hierbei besonders einfach reaiisiert werden, da die Schattung 
test vorgegeben sein kann. Insbesondere kiinnen die Sicherhettseinrichtungen in Form • 
s der Berechtigungsprufeinrichtungen unabhangig vom Betriebssystem eines zur Steue- 
rung, Bedienung und Auswertung verwendeten Rechners betrieben werden. Vor ailem 
bei dieser Ausfuhrungsform, aber grundsdtzlich auch jeder anderen geeigneten Gestal- 
tung der Erfindung, kann besonders einfach und effizient eine ZugriffsgerStekennung 
zum Datenschutz eingesetzt werden. 

10 

Zundchst kann dabei eine Autorisierung des Benutzers erfolgen. Es wird nur dann ein 
Zu griff auf das Speichermedium erlaubt, wenn das verwendete Zugriffsgerat, das ein 
geeignetes Laufwerk sein kann, insbesondere fur zwei Datentrdger, wie z.B. eine Pro- 
zessor-Chipkarte und eine Minidisk, mit einer Kennung ausgestattet ist. Dadurch wird 
is gewShrleistet, daft nur entsprechend ausgerustete Zugriffsgerate, die auch nur fur ein- 
zelne Datentrdger ausgelegt sein kiinnen, filr Schreib- und/oder Leseoperationen be- 
nutzt werden kOnnen, was sicherstellt, daB nur dafur autorisierte Einrichtungen Zugang 
zu den Daten der Speichereinrichtungen erhalten. 

20 Bei einem Ausfuhrungsbeispiel der Erfindung haben zur Datensicherung sowohl das 
Lesegerat einer Prozessor-Chipkarte als auch das Laufwerk einer Diskette je eine Ken- 
nung. Dabei ist die Diskette nur lesbar, wenn die Lesegerdtekennung die Prozessorkar- 
te autorisiert und gleichzeitig die Laufwerkskennung die Diskette autorisiert und gleich- 
zeitig die Prozessorkarte die Diskette freigibt. 

25 

Ferner kann bereits uber die Zugriffsgeratekennung jeglicher Zu griff auf die Daten der 
Speichereinrichtungen dokumentiert werden. Dies wurde in der Weise erfolgen, da& bei 
V rwendung d s Zugriffsgerdts, wie eines einzelnen Oder fur m eh re re Speichervorrich- 
tung n kombini rten Laufwerks, die entsprechend K nnung als Stempel an einem 
30 dafOr vorgesehen n Speicherplatz z.B. auf der Proz ssor-Chipkarte als Teil der Spei- 
chereinrichtungen hint rlassen wird. 
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SchlieBlich ist uber die aufgezeichnete Zugriffsgeratekennung eine Identifikation des 
Benutzers mdglich. Damit kann nachgewiesen werden. in welcher Arztpraxis oder in 
w Ichem Rettungswagen auf die Daten der Speichereinrichtungen zugegrrffen wurde. 
s Durch entsprechende MaBnahmen, wie z.B. turnusmaGiger Wechsel der Kennung. 
kann damit auch fur die Authentifikation des Benutzers gesorgt werden. 

Damit ein sicherheitstechnisch zwar nicht zu fOrchtender, informationstechnisch jedoch 
auBerst unangenehmer Datentragerverlust sich nicht negativ auf die Datenarchivierung 

10 auswirkt, sollten von alien Datentragern Sicherungskopien erstellt und aufbewahrt wer- 
den. Bevorzugt sind die Zugrrffsgerate ausgelegt, ohne Berechtigungsnachweis Oder 
ggf. in einer ersten PrQfstufe Sicherungskopien der transportablen, persanlichen Spei- 
chereinrichtungen zu erstellen. Besondere SicherheitsmaBnahmen sind dabei deshalb 
nicht zu beachten. da fQr den Zugriff auf Kopien der Speichereinrichtungen dieselben 

is MaBgaben gelten, wie fur die Originale. 

FQr einen bevorzugten Einsatz des erfindungsgemaBen Personendaten-Archivierungs- 
system sind gewisse Anpassungen an die Handhabung von Patientendaten vorteilhaft, 
wi z.B., daS das System zum Speichem und Aufbewahren von Patientendaten, ein- 
20 schlieBlich schriftlicher und graphischer Unterlagen, beim Inhaber ausgelegt ist. Dafur 
kann das System geeignete Eingabemedien, wie einen Scanner enthalten. 

Vorzugsweise enthalt der erste Teil der Speichereinrichtungen einen Notfalldatenspei- 
cherbereich, in dem Verwaltungsdaten und die Daten eines Notfallausweises, eines 

25 Organspendeausweises, Notfalltestaments u.a. des Inhabers speicherbar sind. Ein Zu- 
griff auf diese Daten sollte durch die BerechtigungsprQfeinrichtungen frei oder mit nur 
einer Arzt- oder Rettungsdienstkennung, die vorzugsweise uber eine spezielle Arzt- 
oder Rettungsdienstkarte oder eine Arzt-/Rettungsdi nst-Zugriffsgeratekennung in die 
BerechtigungsprQfeinrichtungen eingebbar ist, oder mit nur einer Inhaberkennung frei- 

% gebbarsein. 
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Weit rhin ist es bevorzugt, dafi cler erste T il der Speichereinrichtungen inen Ober- 
sichtsdatenspeicherbereich enthalt, in dem eine Auflistung wichtiger anamnestischer 
Daten, einschliefilich einer ggf. erfolgten Verabreichung von Blut Oder Blutprodukten 
und eine Dokumentation wichtiger Gesundherts-/Krankheitsdaten, einschlieBlich All r- 
5 gie-, Irnpf-, Rfintgen-, Schrittmacher-, Diabetiker-, Medikamentendaten u.a., analog ei- 
ner arztlichen Patientenkarte gespeichert werden kann. Zusatzlich zu den vorstehen- 
den im Zusammenhang mit den Notfalldaten angegebenen Zugriffsberechtigungen 
kann hier noch ein Zugriff durch Krankenkassen mittels einer entsprechenden Kennung 
vorgesehen sein. 

10 

Alle diese Zugriffsrechte kbnnen ferner fQr einen im ersten Teil der Speichereinrichtun- 
gen enthaltenen Behandlungsdatenspeicherbereich, in dem ein vorgegebener zeitlicher 
Rahmen und eine vorgegebene inhaltliche Struktur von Vorsorgeuntersuchungen sowie 
Untersuchungen im Rahmen der Nachsorge chronischer und/oder bosartiger Erkran- 

is kungen speicherbar sind, und fur einen optionalen oder zusdtzlichen Nachweisdaten- 
speicherbereich eingestellt sein, der im ersten Teil der Speichereinrichtungen enthalten 
ist und in dem zumindest eine vorgebbare Anzahl und/oder Art von Zugriffen auf die 
Speichereinrichtungen insbesondere einschlie&lich der jeweils erfolgten vorzugsweise 
individuellen Berechtigungs- und/oder Authentizitatserkennung und vorgenommenen 

20 Zugriffsart im einzelnen speicherbar ist. 

Eine vorzugsweise Gestaltung des ersten Teils der Speichereinrichtungen kann einen 
Dokumentationsbereich enthalten, in dem die im Laufe des Lebens des Inhabers der 
Speichereinrichtungen anfallenden relevanten Gesundheits-ZKrankheitsdaten ein- 
25 schlie&lich Anamnese, Diagnosen, Befunde wie Labor-, Blutdruckwerte, etc. speicher- 
bar sind. 

Eine vorzugsw ise Gestaltung des zweiten T ils der Speichereinrichtung n kann einen 
Dokumentationsbereich enthalten, in dem alle Original unterlagen von Arztberichten, 
so Zeugnissen, Rontg n-, Ultraschall-, Computertomographie-, Endoskopieabbildungen 
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usw., Biosignale, wie EKG- und EEG-Daten etc., clirekt Oder als Graphiken u.a. spei- 
cherbarsind. 

Ein Zugriff auf die vorgenannten Dokumentationsbereiche ist zumindest soweit durch 
5 die BerechtigungsprQfeinrichtungen einzeln oder in Kombination mit einer Arztkennung, 
welche vorzugsweise Qber eine spezielle Arztkarte oder eine Arzt-Zugriffsge- 
ratekennung in die BerechtigungsprQfeinrichtungen eingebbar ist, mit einer inhaber- 
kennung und/oder einer Krankenkassenkennung freigebbar. 

10 Auch der zweite Teil der Speichereinrichtungen kann bei einer bevorzugten Ausgestal- 
tung einen Nachweisdatenspeicherbereich enthalten, der grundsatzlich genauso funk- 
tioniert, wie der Nachweisdatenspeicherbereich im ersten Teil der Speichereinrichtun- 
gen. Eine vorteilhafte Weiterbildung davon besteht darin, daB der Nachweisdatenspei- 
cherbereich im ersten Teil der Speichereinrichtungen schieberegisterartig aufgebaut ist, 

is so daS sein aitester Inhalt zur insbesondere endgQItigen Abspeicherung in den Nach- 
weisdatenspeicherbereich des zweiten Teils der Speichereinrichtungen zur Platzschaf- 
fung fur einen Neueintrag im Nachweisdatenspeicherbereich im ersten Teil der Spei- 
chereinrichtungen Platz verschiebbar ist. Damit kdnnen die Nachweisdaten jederzeit 
gespeichert werden. Es kann insbesondere auch bei anderen Einsatzgebieten des per- 

20 sOnlichen Archivierungssystems nach der Erfindung vorgesehen werden, dafi nur die 
letzten etwa drei bis fOnf Zugriffsinformationen gespeichert bleiben und altera Zugriffs- 
informationen gelQscht werden. 

Vorteilhafterweise kann eine bereits bestehende und bei der BevOlkerung eingefuhrte 
25 Karte, wie eine Krankenversicherungskarte, ein Personalausweis oder eine Kontokarte, 
die Speichereinrichtungen des erfindungsgema&en Personendaten-Archivierungssy- 
st ms ganz oder teilweise aufnehmen. 

Fur eine weitere ErhOhung der Sicherheit der archivierten Daten ist es bevorzugt, da& 
30 mittels den BerechtigungsprQfeinrichtungen ein insbesondere turnusma&iger Ken- 
nungswechsel einer Anwender- und/oder Geratekennung zur Berechtigungs- und/od r 
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Authentizitatserkennung berucksichtigt werden kann. Dabei wird vorzugsweise mittels 
den Berechtigungsprtifeinrichtungen eine Authentizitats- und/oder Berechtigungspru- 
fung von Anwender. ZugriffegerSten und/oder Speichereinrichtungen fur einen beab- 
sichtigten Zugriff durchgefuhrt. 

Die Verwendungsmoglichkeit der Daten im Personendaten-Archivierungssystem nach 
der Erfindung wird weiter dadurch optimiert, daB die Speichereinrichtungen eine Mehr- 
zahl von Bereichen enthalten, denen unterschiedliche Zugriffssicherungen, wie Pass- 
wOrter, PINs o.a. zugeordnet werden k6nnen. 

Ein besonderer weiterer Schutz kann bei der Erfindung vorteilhaft fur Schreibzugriffe 
vorgesehen sein, indem Speicherungen von neuen oder gednderten Daten auf die 
Speichereinrichtungen dort nur nach Eingabe einer Signatur zusammen mit dieser ab- 
speicherbar sind, und dak letztere vorzugsweise durch eine Anwender- und/oder Zu- 
griffsgeratekennung insbesondere automatisch erzeugt wird. 

Nachfolgend werden einige weitere bevorzugte Ausfuhrungsformen angegeben, die 
sich aus verschiedenen Merkmalskombinationen der Unteranspriiche ergeben. 

Beispielsweise als Patientenkarte kann eine Prozessor-Chipkarte Verwendung fmden, 
die sowohl zumindest einen Teil der Berechtigungsprufeinrichtungen in Form des Pro- 
zessors als auch einen ersten Teil der Speichereinrichtungen auf dem Chip enthait, um 
ein Patientendaten-Archivierungssystem zu realisieren. Mit einer derartigen Prozessor- 
Chipkarte kann der Informationsaustausch im Medizinbereich verbessert werden. In 
erster Linie dient die Prozessor-Chipkarte dabei als Kontroll- und Sicherheitselement, 
und die Speicherfunktion ist insbesondere auf Grund der ublicherweise geringen Spei- 
cherkapazitat solcher Karten zweitrangig. Das erfindungsgemaiie System enthait daher 
neben der Karte einen mobilen eig ntlichen Datenspeich r, wofQr sich beispielsweise 
eine magneto-optische Platte in Form einer 2,5-Zoll-Diskette eignet. Diese Datentrager 
sind so kl in und handlich wie ein Chipkarte. verfugen aber ub rein Sp icherkapazi- 
tat von beispielsweise 140 Megabyte und sind wiederbeschreibbar. 
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Die durch die Erfindung geschaffene Sicherheit wird technologisch durch die Kombina- 
tion der Prozessor-Chipkarte mit einem bezuglich dieser externen Massendatenspei- 
cher erreicht Der Zugriff zu dem Massendatenspeicher erfolgt ausschlieBlich uber die 
5 Prozessor-Chipkarte mit ihren Sicherheitseinrichtungen zur Berechtigungspriifung und 
Zugriffsfreigabe. Damit sind die Daten z.B. auf der magneto-optischen Platte in gleicher 
Weise geschUtzt, als ob sie auf der Prozessor-Chipkarte selbst abgelegt waren. 

Somit hat ein Patient in dieser Zeit der zunehmenden medizinischen Aufsplittung mehr 
10 als nur einen medizinischen Ausweis und wird in die Lage versetzt, seine relevanten 
Krankheitsdaten selbst komplett zu dokumentieren, um sie dann beispielsweise dem 
jew ils behandelnden Arzt oder seiner Versicherung zur VerfQgung stellen zu k6nnen. 
Die durch die Erfindung somit allgemein mdgliche umfassende persSnliche und insbe- 
sondere medizinische Datensammlung in der Hand des Patienten tragt zu einer Ver- 
is besserung des Informationsaustausches z.B. zwischen den Arzten bei. Gleichzeitig ist 
sie, um beim Beispiel des Patientendaten-Archivierungssystems zu bleiben, ein Instru- 
ment zur Qualitatssicherung der arztlichen Leistung und dient einer ganzheitlichen Be- 
treuung des Patienten. Die Vermeidung von Datenverlusten z.B. bei einem Arztwechsel 
ffihrt zu einer Reduzierung der erforderlichen Untersuchungen und damit zu einer Ent- 
20 lastung, gesundheitsmaBig beim Patienten und kostenmaBig bei den Krankenkassen. 

Eine Datensammlung Ober die Krankengeschichte darf sich aber nicht in einer Aufli- 
stung von anamnestischen Daten, Diagnosen oder durchgefflhrten Untersuchungen 
erschiipfen. Jeder weiterbehandelnde Arzt mOchte zumindest die kompletten Arzt- und 

25 Krankenhausberichte einsehen, und haufig will er verstandlichenweise auch nicht dar- 
auf verzichten, die Originalaufzeichnungen und -befunde betrachten zu kdnnen. Eine 
solche umfassende Datensammlung ware aber auf einer herkommlichen Prozessor- 
Chipkarte alleine nicht r alisi rbar, sondem nur in Kombination mit einem typischen 
Datenspeicher, far den es ohne die Erfindung k inen ausreichenden Datenschutz ga- 

30 be. 
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In Fortfuhrung des vorbeschri benen Ausfuhrungsb ispi Is kann di Prozessor-Chip- 
karte zunSchst als Notfall-Ausweis fungieren. Neben den typischen Notfalldaten kann 
der entsprechende Speicherteil bei Interesse auch als zum Speichern eines Organ- 
spendeausweises oder Notfalltestaments eingesetzt werden. Mogliche Zugriffsregelun- - 
gen hierfur wurden bereits weiter oben beschrieben. Durch die Mitwirkung des Inhabers 
uber einen Zugriffsschlussel, wie ein Passwort oder eine PIN wird daraus eine umfas- 
sende Ausweiskarte rnit den wesentlichen medizinischen (oder bei anderen Anwen- 
dungsfailen Finanz-, Versicherungs-, "Kleingeldguthaben-") Basisdaten. Zusammen mit 
dem z.B. elektronischen Massenspeichemnedium for die Komplettdaten erhait der Pati- 
ent eine vollstandige Sammlung von wichtigen Krankheitsdaten, wobei die Arztb richte, 
Bilder (beispielsweise ROntgen- und Ultraschallbilder) und Biosignale (EKG u.a.) im 
Original vorliegen. Aus praktischen Uberlegungen kann die Mitwirkung des Patienten 
bet der Zugriffsfreigabe fQr einen Arzt, der sich z.B. neben seinem Kartenlesegerat und 
seinem Laufwerk fur die Berechtigungsprufeinrichtungen beispielsweise mit einer 
Arztkarte identifiziert hat, darauf beschrSnkt werden, da& auf der Prozessor-Chipkarte 
ein Foto des Patienten den Karteninhaber ausweist. 

Es kann ferner eine automatisch arbeitende Einrichtung vorgesehen sein, die dafur 
sorgt, daB der Speicher einer gefullten Prozessor-Chipkarte durch Auslagern von Daten 
auf z.B. eine zugehdrige MO-Platte wieder zum Aufnehmen weiterer neuer Daten b r it 
ist. 

Weiterhin ist bei der AusfUhrung mit der Prozessor-Chipkarte als Kontroll- und Sicher- 
heitsinstrument eine Ausstattung mit einem Coprozessor moglich, durch den fur das 
Sicherheitskonzept eine Authentifikation von Terminal, Karte und Benutzer sowie eine 
Dokumentation Qber jeden Zugriff auf die abgelegten Daten erfolgen kann. 

Als BerechtigungsprQfeinrichtung n und deren Prtifmittel sind insbesond re Prozes- 
soreinrichtungen vorzugsw is auf ein m Teii der od r allgemein den Speich reinrich* 
tungen und/oder aber in einem Steuerrechner oder Zugriffsgerdt und geeignete Pro- 
gramme bzw. Zugriffsgerdte-, Speichereinrichtungs-, Inhaber- und Anwenderkennun- 
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gen zu nennen. Die Sicherung kann beispielsweise ferner auch oder zusatzlich dadurch 

rreicht werden, daB die Kennungen getrennter Speichervorrichtungen und insbeson- 
dere DatentrSger kombiniert werden mQssen, urn auf geschiltzte Daten zugreifen zu 
konnen. Femer konnen die Daten direkt in lauffahigen Programmdateien enthalten 
sein, deren Aufruf von bestimmten Kennungen abhangt. Der erfindungsgemaBe 
Grundschutz wird aber dadurch erreicht, daB ein Zugriff vom PrOfergebnis der Berech- 
tigungsprtifeinrichtungen abhangt. 

Das erfindungsgemaSe System kann zwar z.B. eine Arztkartei schon wegen der beste- 
henden Dokumentationspflicht nicht ersetzen. Die Erfindung schafft aber eine wichtige 
Erganzungsmdglichkeit beispielsweise zur Arztkartei, da durch das Patientendaten- 
Archivierungssystem samtliche relevanten Daten vollstandig, unverfaischt und unmittel- 
bar zur VerfQgung stehen. FQr die digitate Archivierung spricht femer, daB zahlreiche 
Daten bereits jetzt, zumindest aber kQnftig, von vomherein in digitaler Form vorliegen, 
wie R6ntgenbilder f Uttraschallaufnahmen, EKG, EEG, Arzberichte usw. 

W itere vorteilhafle und bevorzugte Ausgestaltungen der Erfindung ergeben sich durch 
die Ansprtlche und deren Kombinationen. 

Nachfolgend werden Einzelheiten der Erfindung unter Bezugnahme auf die Zeichnun- 
gen naher angegeben, in denen: 

Figur 1 eine schematische Darstellung von Systemkomponenten eines Personendaten- 
Archivierungssystems zeigt, 

Figuren 2a - 2c tabellarische Darstellungen mOglicher Aufteilungen der Speichereinrich- 
tungen sind, und 

Figur 3 in Blockschaltbild des Aufbaus von Figur 1 ist. 
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ln den Figuren 1 und 3 ist ein Personendaten-Archivierungssystem 1 g zeigt. Das Sy- 
stem 1 enthalt transportable Oder mobile, persdnliche Speichereinrichtungen 2 zum 
Speichem und Aufbewahren von Personendaten beim Inhaber. Die Speichereinrich- 
tungen enthalten erste und zweite getrennte Datentrager 8 und 9, die einzelne Spei- 
& chervorrichtungen als ersten und zweiten Teil 6 bzw. 7 der Speichereinrichtungen 2 
bilden. 

Zum Zugreifen auf die einzelnen Datentrager 8, 9 ist ein Zugriffsgerat 12 gezeigt, das 
ein kombiniertes Lesegerat und Laufwerk fur die beiden Datentrager 8, 9 darstellt. Fer- 
io ner ist das Zugriffsgerat 12 auch ausgelegt, eine Berechtigungskarte 13 zu iesen. 

Der erste Datentrager 6 ist eine Prozessor-Chipkarte und dient sowohl zur Speicherung 
kleinerer Datenmengen, beispielsweise eines Notfallausweises, von Obersichtsdat n 
und/oder Behandlungsdaten des Inhabers und von Nachweisdaten erfolgter Speicher- 
15 zugriffe, als auch als Bestandteil von Berechtigungsprufeinrichtungen 3, wofur die Pro- 
zessoreinrichtungen 10 der Karte eingesetzt werden. Wie insbesondere der Figur 3 
deutlich zu entnehmen ist f sind im Zugriffsgerat 12 weitere Prozessoreinrichtung n 10 
vorgesehen, die ebenfalls Bestandteil der Berechtigungsprufeinrichtungen 3 zur F st- 
stellung einer Zugriffsberechtigung sind. 

20 

Der zweite Datentrager 7 ist eine magneto-optische Platte und ermtiglicht so ein Sp i- 
cherung groBer Datenmengen zur Speicherung von Detaildaten. AuRerdem ist durch 
die Prozessoreinrichtungen 10 eine Steuerung vorgesehen, um zu vermeiden, daS die 
Prozessor-Chipkarte speichermaBig voll ist und keine weiteren Daten mehr aufnehmen 
25 kann, wofiir Daten von der Prozessor-Chipkarte immer wieder auf die magneto-opti- 
sche Platte ausgelagert werden. 

Die den Speichereinrichtung n 2 zug ordn ten B rechtigungsprQfeinrichtung n3die- 
nen der Datensicherheit, da sie dafQr sorgen, dafi nur in Abhangigkeit von einer positi- 
ao ven Berechtigungs- und/oder Authentizitatserkennung ein Zugriff auf zumindest einige 
der auf d n p rsonlich n Sp ich reinrichtungen 2 gespeicherten Personendaten fr i- 
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geg ben werden kann. Bei dern gezeigt n Ausfuhrungsbeispiel sind hierfur die einzel- 
nen Prozessoreinrichtungen 10 und spater noch genauer angegebene Kennungen zu- 
standig. 

s Die Berechtigungsprufeinrichtungen 3 des gezeigten Ausfuhrungsbeispiels sind so 
ausgefuhrt, daS sie einen turnusmd&iger Kennungswechsel einer Anwender- und/oder 
GerStekennung zur Berechtigungs- und/oder AuthentizitStserkennung berucksichtigen 
und eine Authentizitats- und/oder Berechtigungsprufung von Anwender, Zugriffsgeraten 
und Speichereinrichtungen 2 fur einen beabsichtigten Zugriff durchfOhren. Weiterhin 

10 k6nnen Schreibzugriffe auf die Speichereinrichtungen 2 dort nur nach Eingabe einer 
Signatur zusammen mrt dieser abgespeichert werden, wobei diese Signatur durch eine 
Anwender- bzw. Zugriffsgeratekennung automatisch unter Nutzung des RSA-Verfah- 
rens erzeugt wird. 

is Das gezeigte Archivierungssystem 1 ist so ausgelegt, daB nur in Verbindung mit dem 
ersten Teil 6 der Speichereinrichtungen 2 auf den zweiten Teil 7 der Speichereinrich- 
tung n 2 zugegriffen werden kann. Es sind auch mehrere verschiedene Pruf- bzw. Be- 
rechtigungsstufen vorgesehen, um den Zugriff auf verschiedene Datenbereiche zu re- 
geln. 

20 

In einer ersten PrOfetufe wird nur eine Lesegeratekennung uberpruft, um einen Zugriff 
auf Notfalldaten zuzulassen. In dieser oder einer hdheren Prufstufe kann eventuell eine 
Berechtigungskarte fur den Zugriff auf Daten erforderlich sein t die eine Obersicht iiber 
weitere personliche Daten des Inhabers der Chipkarte geben. Eine weitere Prufstufe 

25 kann dadurch realisiert werden, dad auf die auf dem zweiten Teil 7 der persdnlichen 
Speichereinrichtungen 2 gespeicherten Personendaten, wie Detaildaten, nur in Abhan- 
gigkeit von einer positiven Berechtigungs- und/oder Authentizitatserkennung mittels der 
BerechtigungsprOfeinrichtungen 3 zugreifbar ist Eine solche Kennung kann z.B. fol- 
gende Infonrnationen all ine oder kombiniert berucksichtigen: eine Les geratekennung, 

30 eine Laufwerkskennung. eine Datentrdgerkennung, eine Anw nderk nnung, eine In- 
haberkennung. Insbesondere die beiden letzteren kdnnen auch durch PINs 
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(p rs&nliche Identifizierungsnummern) Oder Gehetmzahlen o.a. realisiert werden, wobei 
verschiedene Eingaben zu unterschiedlichen Berechtigungsstufen fuhren konnen. Die 
einzelnen Prufstufen der Berechtigungsprufeinrichtungen 3 konnen beispielsweise auch 
dafiir genutzt werden, urn fur Schreib- und Lesezugriffe jeweils unterschiedliche Be- 
s rechtigungen zu vergeben. 

Im Zusammenhang rnit dem Kartenlesegerdt wird durch die Berechtigungsprufeinrich- 
tungen 3 die Authentizitat der Prozessor-Chipkarte uberprtift. Dabei kdnnen z.B. ge- 
faischte Karten abgewiesen werden. Ebenso wird anhand der Prozessor-Chipkarte 
io mittels der Berechtigungsprufeinrichtungen 3 eine Uberprufung des Kartenlesegerats 
durchgefQhrt, so da& nicht autorisierte LesegerSte uberhaupt keinen Zugriff auf die 
Daten der Prozessor-Chipkarte und auch des Massenspeichers erhalten. Eine ahnlich 
gegenseitige AutorisierungsuberprUfung kann auch fur die magneto-opt is che Platte und 
das entsprechende Laufwerk vorgesehen sein. 

Im einzelnen werden die Identifikationsmerkmale des Kartenlesegerats (z.B. Unikat-Nr.) 
und des Laufwerks fQr die magneto-optische Platte erfaBt (z.B. Laufwerkkennung) er- 
fafit und die entsprechenden Daten auf oder in dem Speicher der Prozessor-Chipkarte 
gespeichert, sobald das Lesegerdt oder das Laufwerk auf gespeicherte Daten zugreift. 

20 Sollte die Kapazitat des entsprechenden Speichers auf der Prozessor-Chipkarte nicht 
ausreichen, werden attere Daten auf die MO-Platte ausgelagert oder geioscht. Durch 
eine Erfassung der Benutzeridentifikation (Anwender- und Inhaberkennungen) wird ge- 
trennt fQr die Prozessor-Chipkarte und die MO-Platte jeglicher Zugriff auf die gespei- 
cherten Daten erfaBt. Alternativ oder auch erganzend zu anderen Identifikationsmerk- 

25 malen, wie der Lesegeratekennung oder einer Benutzerkennung, kann eine Berechti- 
gungskarte zur Autorisierungsprufung benOtigte Daten bereitstellen, die den Benutz r 
ausweisen und ebenfalls gespeichert werden kdnnen, urn dort, wo verschiedene Be- 
nutzer auf das gleiche Kartenles gerat zugreifen, wie z.B. in inem Rettungswagen. 
eine einfache, schnelle und sichere Berechtigungs rkennung zu ermoglichen. 
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Die umfangreich n Daten auf dem zweiten Teil 7 der Speichereinrichtungen 2, also 
beispielsweise Bilddaten auf der MO-Platte, kdnnen nurdann gelesen werden, wenn 
ein Benutzer beispielsweise uber entsprechende Programmteile verfOgt. was aber erst 
nach positiver Authentizitatsprufung moglich ist. 

Als weiteren Sicherheitsaspekt enthait das ZugriffsgerSt 12 in dem gezeigten Beispiel 
Kryptoeinrichtungen 1 1 , die fur eine Entschlusselung und VerschlQsselung bei Lese- 
bzw. Schreibzugriffen auf die Teile 6 und 7 der Speichereinrichtungen 2 sorgen und 
beispielsweise zur Bearbeitung von gro&en Datenmengen zumindest einen als Copro- 
zessor ausgelegten Kryptoprozessor enthalten. Die Kryptoeinrichtungen 1 1 sind den 
Speichereinrichtungen 2 vorgeschaltet und werden betriebsma&ig mittels der Berechti- 
gungsprCifeinrichtungen 3 zur Bearbeitung von Zugriffen auf die Speichereinrichtungen 
2 freigegeben. Die zwischen einzelnen Speichervorrichtungen bzw. deren Zugriffsein- 
richtungen 12 und den Rechnereinrichtungen 14 transferierten Daten werden durch die 
Kryptoeinheit ent- bzw. verschlQsselt, wobei letztere ebenfalls erst nach positiv ausge- 
fall ner AuthentizitatsprOfung in Funktion tritt. Beim Aufruf einer Datei auf der MO- 
Platte wird diese automatisch entschlQsselt. Umgekehrt erfolgt eine automatische Ver- 
schlQsselung einer Datei, wenn sie auf die MO-Platte geschrieben wird. Die entspre- 
chenden Dateinamen sind beim System 1 ohne die Freigabe durch die Berechtigungs- 
prufeinrichtungen 3 nicht lesbar und auf der Prozessor-Chipkarte hinterlegt. Die hohe 
Datentransferrate kann durch die eigenstandige Kryptoeinheit bewaitigt werden. 

D r erste Teil der Speichereinrichtungen 2 bzw. die erste Speichervorrichtung 6 ist 
nicht auf die vorbeschriebenen AusfQhrung beschrankt, sondem kann eine magneti- 
sche, magneto-optische oder optische Speicherfiache oder ein Speicherchip insbeson- 
dere auf oder in einer vorzugsweise etwa scheckkartengroBen Kunststoffkarte als Da- 
tentrager 8 seih. Ebenfalls ist die Ausgestaltung des zweiten Teils der Speichereinrich- 
tungen 2 bzw. der zweiten Speichervorrichtung 7 nicht auf eine magneto-optisch Plat- 
te beschrankt, sondern kann jeglicher lektronische. magnetische, magneto-optische 
oder optische Massenspeicher insbesondere in Form einer 2,5 od r 3,5 Zoll groBen 
Diskette oder einer PCMCIA-Einheit als Datentrager 9 sein. 
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Die Speichereinrichtungen 2 sind jeweils durch ein zum HinzufQgen und/oder Andern 
von Personendaten wiederbeschreibbares Speichermedium 4, 5 entsprechend den 
DatentrSgern 8, 9 gebildet. Fur bestimmte Anwendungszwecke sind wenigstens T ile 
s der beiden beschreibbaren Speichermedien 4, 5 schreibgeschQtzt oder schreibschGtz- 
bar. Hierdurch kOnnen beispielsweise unveranderliche Eintragungen vor versehentli- 
chen Oberschreibungen geschdtzt werden. Auch Bereiche des Speichermediums 5 des 
zweiten Datentragers k6nnen aus dem gleichen Grund schreibgeschQtzt Oder schreib- 
schUtzbar sein t um z.B. nachtrSgliche Anderungen in der Zugriffsdokumentation auszu- 
10 schlieBen. 

Die Prozessoreinrichtungen 10 erfQIIen neben ihrer Aufgabe zur BerechtigungsQberpru- 
fung noch die Steuerung von zumindest Teilen der Speichereinrichtungen 2 und/oder 
die wenigstens teilweise Steuerung von Zugriffen auf letztere. 

15 

Nicht gesondert gezeigt sind Kopierschutzeinrichtungen, Druckausgabeschutzeinrich- 
tungen und Ausgabebeschrankungseinrichtungen, die ein unerwunschtes Kopteren, 
Drucken oder andersartiges Ausgeben von den Speichereinrichtungen 2 entnommenen 
Daten verhindern, wenn diese entsprechenden Einrichtungen nicht durch einen geeig- 
zo nete Berechtigungsnachweis den Berechtigungsprufeinrichtungen gegenuber neutrali- 
siert, d.h. abgeschattet sind. 

Statt des oder zusdtzlich zum gezeigten Zugriffsgerdt 12 konnen fur die einzelnen Da- 
tentrager 8 und 9 sowie die Berechtigungskarte 1.3 gesonderte Zugriffsgerate vorgese- 
25 hen sein, beispielsweise persfinliche, mobile und/oder stationdre Zugriffsgerate. Das 
Zugriffsgerat 12 ist sowohl fur die Prozessor-Chipkarte als auch die magneto-optische 
Platte in Minidisk-Form fur einen Schreib- und/oder Lesezugriff ausgelegt. 

Jedes etnsetzbare Zugriffsgerat 12 enthatt zweckmaBigerweise entsprechend den 
ao Formaten von die Speichereinrichtungen 2 aufnehmenden Datentrag rn Kartenlesege- 
rate filr z.B. Magnetstreifen- oder Chipkarten, Diskett nlaufwerke fur z.B. magnetische, 
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magneto-optische Oder optische Disketten, CD-ROM-Laufwerke und/oder Aufnahmen 
fur PCMCIA-Einheiten. Auch bei getrennter Ausfuhrung der ZugriffsgerSte 12 fur die 
ersten und zweiten Teile 6, 7 der Speichereinrichtungen 2 ktSnnen diese Gerate 12 zu- 
sammengeschaltet und Uber diese Zusammenschaltung von den Berechtigungspru- 
s feinrichtungen 3 ein entsprechender Berechtigungsnachweis erfa&t werden. 

Zur Erstellung von Sicherungskopien, die bei Veriust der Speichereinrichtungen 2 einen 
vollstandigen Datenverlust verhindern, lassen die ZugriffegerSte 12 direkt oder die Be* 
rechtigungsprQfeinrichtungen 3 ohne Berechtigungsnachweis eine Erstellung von Si- 
io cherungskopien der transportablen, personlichen Speichereinrichtungen 2 zu. HierfUr 
kttnnen z.B. fluchtige Speichereinrichtungen in dem entsprechenden ZugriffsgerSt 12 
enthalten sein, urn Daten zum Kopieren zwischenzuspeichern. 

Wie den Figuren 1 und 3 wetter zu entnehmen ist, ist zum Ansteuem des ZugriffsgerSts 
is 12 eine Rechnereinrichtung 14 in Form eines PCs vorgesehen. Diese Rechnereinrich- 
tungen 14 dienen ferner als Anzeige- und Ein-/Ausgabeger2te von Daten sowohi fur die 
Berechtigungsprufeinrichtungen 3 als auch die Speichereinrichtungen 2, um Daten zu 
suchen, auszugeben und einzugeben. 

20 Das in der Figur 1 dargestellte Zugriffsgerdt 12 ist uber eine Leitung mit einer nicht nd- 
her bezeichneten eigenen Tastatur und uber eine weitere Leitung an geeigneten Da- 
tenschnittstellen mit den Rechnereinrichtungen 14 verbunden. Die Rechnertastatur 
und/oder die Zugriffsgeratetastatur kann zum Eingeben von PINs u.a. verwendet wer- 
den kOnnen. Ferner ist das ZugriffegerSt 12 mit nicht nSher bezeichneten Displayein- 

25 richtungen versehen. 

Der erste Datentrager 8 ist gleichzeitig eine Krankenversicherungskarte und das ge- 
samte System 1 dient zur Archivierung von Patientendaten einschlieSlich schriftlicher 
und graphischer Unterlagen beim Inhaber. J doch kOnnen auch andere Daten mit die- 
30 sem oder ahnlichen Systemen archiviert werden, wie beispielsweise Finanzdaten, Ver- 
sicherungsdaten, R isedaten u.v.m. 
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Fur den Anwendungsfall des Patientendaten-Archivierungssystems 1st in den Figuren 
2a - 2c tabellarisch eine Speicherorganisation dargestellt. Die Figur 2a zeigt die Orga- 
nisationsstruktur der beiden Datentrdger, die Figur 2b gibt Aufschlufi Ober den Inhalt 
der enthattenen Notfallkarte und die Figur 2c erlautert den Inhalt der patientenkarte, 
wobei die verschiedenen Speicherbereiche direkt bezeichnet sind, so da& keine weite- 
ren ErlSuterungen zu ihrem Verstdndnis erforderlich sind. In der Praxis kflnnen einz Ine 
Felder und Eintrage uber die Rechnereinrichtungen 14 mittels MenQ- oder Fenster- 
technik aufgerufen werden. 

Wenn vorstehend auf ein Patientendaten-Archivierungssystern, Patientendaten und 
allgemein den Medizinbereich Bezug genommen wurde, so ist dies nur exemplarisch zu 
verstehen. Die Erfindung betrifft ein Personendaten-Archivierungssystem, das durch 
die in den Anspruchen angegebenen Merkmale und Merkmalskombinationen bestimmt 
und nicht auf einzelne Ausfuhrungsbeispiele der Beschreibung beschrdnkt ist. So k6n- 
nen z.B. mehr als zwei (separate) Speichereinrichtungsteile vorgesehen sein, wobei 
beispielswetse eine einzige Prozessorkarte mit mehreren MO-Platten fur je ein eigenes 
Sachgebiet zusammenarbeiten kann. Insbesondere sind alle durch die Merkmalsformu- 
lierungen in den Ansprtlchen enthaltenen Ausfuhrungsmdglichkeiten der Erfindung oh- 
ne Einschrdnkungen und mit den dem Fachmann geldufigen Modifikationen und Substi- 
tutionen im Umfang der Erfindung abgedeckt. 
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Bezugszeichenliste 



1 


Personendaten-Archivierungssystem 


2 


Speichereinrichtungen 


3 


Berechtigungsprufeinrichtungen 


4.5 


Speichermedium 


6 


erster Teil der Speichereinrichtungen 


7 


zweiter Teil der Speichereinrichtungen 


8,9 


erste und zweite Datentrager 


10 


Prozessoreinrichtungen 


11 


Kryptoeinrichtungen 


12 


Zugrrffsgerate 


13 


Berechtigungskarte. Arzt- oder Rettungsdienstkarte 


14 


Rechnereinrichtungen 
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AnsprOch 

1 . Personendaten-Archivierungssystem mit transportablen, persOnlichen Spei- 
chereinrichtungen zum Speichern und Aufbewahren von Personendaten beim 
Inhaber, 

dadurch gekennzeichnet 

daS den Speichereinrichtungen (2) BerechtigungsprOfeinrichtungen (3) zugeord- 
net sind, mittels denen nur in AbhSngigkeit von einer positiven Berechtigungs- 
und/oder Authentizitatserkennung ein Zugriff auf zumindest einige der auf den 
pers6nlichen Speichereinrichtungen (2) gespeicherten Personendaten freigebbar 
ist. 

2. Personendaten-Archivierungssystem nach Anspruch 1, 

dadurch gekennzeichnet, 
da& mittels den BerechtigungsprOfeinrichtungen (3) eine Mehrzahl von PrOfstu- 
fen ausfuhrbar ist. 



3. Personendaten-Archivierungssystem nach Anspruch 1 oder 2, 

dadurch gekennzeichnet 
da& zumindest ein Teil der Speichereinrichtungen (2) durch ein zum Hinzufugen 
und/oder Andem von Personendaten beschreibbares und insbesondere wieder- 
beschreibbares Speichermedium (4 t 5) gebildet ist. 

4. Personendaten- Arch ivierungssy stem nach Anspruch 3 ( 

dadurch gekennzeichnet, 
daB die BerechtigungsprOfeinrichtungen (3) zum Freigeben eines Lese- und/oder 
Schreibzugriffs auf das beschreibbare Speichermedium (4, 5) in Abhdngigkeit 
von einer insbesondere entsprechenden Berechtigungs- und/oder Authentizi- 
tatserkennung ggf. in einer zugehOrigen Prufstufe ausgelegt sind. 

5. Personendaten-Archivierungssystem nach Anspruch 3 oder 4, 



96/08755 



PCT/EP95/03597 



-37- 

dadurch g kennz ichn t, 

dad zumindest ein Teil des beschreibbaren Speichermediums (4, 5) schreibge- 
schOtzt oder schreibschQtzbar 1st. 

Personendaten-Archivierungssystern nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet 

daB die Speichereinrichtungen (2) einen ersten Teil (6) und zumindest einen 
zwetten Teil (7) mit insbesondere unterschiedlichen Speicherkapazitaten enthal- 
ten. 

Personendaten-Archivierungssystem nach Anspruch 6, 

dadurch gekennzeichnet 
da& der erste, insbesondere kapazitatsmSBig kleinste Teil (6) der Speicherein- 
richtungen (2) ein Ausweis-, Identifikations- oder Stammdatenspeicherteil ist. 

Personendaten-Archivierungssystem nach Anspruch 6 oder 7, 

dadurch gekennzeichnet, 
daft auf die auf dem ersten Teil (6) der persOnlichen Speichereinrichtungen (2) 
gespeicherten Personendaten, wie Ausweis-, Identifikations- oder Stammdaten, 
unabhangig von den BerechtigungsprQfeinrichtungen (3) oder mit einer positiven 
Berechtigungs- und/oder Authentizitatserkennung in einer ersten Prufstufe der 
BerechtigungsprQfeinrichtungen (3) zugreifbar ist. 

Personendaten-Archivierungssystem nach einem der Anspruche 6 bis 8 t 

dadurch gekennzeichnet 
daS nur in Verbindung mit wenigstens dem ersten Teil (6) der Speichereinrich- 
tungen (2) auf den zumindest einen zweiten Teil (7) der Speichereinrichtungen 
(2) zugreifbar ist. 

Person ndat n-Archivierungssyst m nach ein m der AnsprOche 6 bis 9, 
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dadurch g kennz ichn t 

da& der zweite, relativ zum ersten Teil (6) kapazitatsma&ig grttSere Teil (7) der 
Speichereinrichtungen (2) ein Detaildatenspeicherteil ist. 

s 11. Personendaten-Archivierungssystem nach einem der Anspruche 6 bis 10, 

dadurch gekennzeichnet, 
da& auf die auf dem zweiten Teil (7) der persOnlichen Speichereinrichtungen (2) 
gespeicherten Personendaten, wie Detaildaten, nur in Abhangigkeit von ein r 
positiven Berechtigungs- und/oder Authentizitdtserkennung ggf. in einer zweiten 

io Prufstufe mittels der Berechtigungsprufeinrichtungen (3) zugreifbar ist. 

12. Personendaten-Archivierungssystem nach einem der Anspruche 6 bis 11, 

dadurch gekennzeichnet, 
da& die wenigstens ersten und zweiten Teile der Speichereinrichtungen (2) 
is durch separate erste bzw. zweite Speichervorrichtungen (6 f 7) insbesondere auf 

verschiedenen ersten bzw. zweiten Datentragern (8, 9) gebildet sind. 

13. Personendaten-Archivierungssystem nach einem der Anspruche 6 bis 12, 

dadurch gekennzeichnet, 
20 daft der erste Teil der Speichereinrichtungen (2) bzw. die erste Speichervorrich- 

tung (6) eine magnetische, magneto-optische oder optische Speicherfldche Oder 
ein Speicherchip insbesondere auf oder in einer vorzugsweise etwa scheckkar- 
tengro&en Kunststoffkarte als Datentrdger (8) ist. 

2s 14. Personendaten-Archivierungssystem nach einem der Anspruche 6 bis 1 3, 

dadurch gekennzeichnet, 
da& der zweite Teil der Speichereinrichtungen (2) bzw. die zweite Speich rvor- 
richtung (7) ein elektronischer, magnetisch r, magneto-optischer oder optischer 
Mass nspeicher insbesondere in Form einer 2,5 oder 3,5 Zoll groften Diskette 

ao oder iner PCMCIA-Einhert als Datentrager (9) ist. 
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15. Personendaten-Archivierungssystem nach einem der vorh rgehenden Ansprii- 
che, 

dadurch gekennzeichnet, 

da& zumindest einem Teil der Speichereinrichtungen (2) zugeordnete und/oder 
vorzugsweise wenigstens einen Teil der Berechtigungspriifeinrichtungen (3) bil- 
dende Prozessoreinrichtungen (10) vorgesehen sind, die vorzugsweise auf dem 
DatentrSger (8), wie z.B. einer Kunststoffkarte, angeordnet sind und insbesonde- 
re einen Prozessor enthalten. 

16. Personendaten-Archivierungssystem nach den Anspruchen 1 3 und 1 5, 

dadurch gekennzeichnet, 
daG die Prozessoreinrichtungen (10) zur Steuerung von zumindest Teilen der 
Speichereinrichtungen (2) und/oder zur wenigstens teilweisen Steuerung von 
Zugriffen auf letztere und/oder zumindest als Teil der BerechtigungsprOfeinrich- 
tungen (3) ausgelegt sind. 

17. Personendaten-Archivierungssystern nach einem der vorhergehenden AnsprQ- 
che, 

dadurch gekennzeichnet, 

daS den Speichereinrichtungen (2) Kryptoeinrichtungen (11) vorgeschaltet sind, 
deren Betrieb insbesondere mittels der Berechtigungsprufeinrichtungen (3) zur 
Bearbeitung von Zugriffen auf die Speichereinrichtungen (2) freigebbar ist. 

18. Personendaten-Archivierungssystem nach Anspruch 15 Oder 16 und Anspruch 
17, 

dadurch gekennzeichnet, 

daB die Kryptoeinrichtungen (11) in den Prozessoreinrichtungen (10) enthalten 
sind und vorzugsw is tnen Kryptoprozessor aufweisen. 

19. P rsonendaten-Archivierungssystem nach einem der vorhergeh nden Anspru- 
che, 
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dadurch gekennz ichn t, 

daB Kopierschutzeinrichtungen vorgesehen sind, mittels denen ein Speichern 
von zumindest einigen Daten, die auf den persCnlichen Speichereinrichtungen 
(2), insbesondere ggf. deren zweiten Teil (7), gespeichert sind, auf bezQglich 
letzteren externen Speichern unterbindbar ist und/oder ein Speichern von zu- 
mindest einigen Daten, die auf dem ersten Teil (6) der Speichereinrichtung n (2) 
gespeichert sind, auf bezuglich letzteren externen Speichern zula&bar sind. 

20. Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

daS Druckausgabeschutzeinrichtungen vorgesehen sind, mittels denen eine 
Druckausgabe von zumindest einigen Daten unterbindbar ist, die auf den per- 
sdnlichen Speichereinrichtungen (2), insbesondere ggf. deren zweiten Teil (7), 
gespeichert sind und/oder ein Drucken von zumindest einigen Daten zula&bar 
ist, die auf dem ersten Teil (6) der Speichereinrichtungen (2) gespeichert sind. 

21 Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

dad Ausgabebeschrdnkungseinrichtungen vorgesehen sind, mittels denen eine 
Ausgabe von zumindest einigen Daten, die auf den persOnlichen Speicherein- 
richtungen (2), insbesondere ggf. deren zweiten Teil (7), gespeichert sind, auf 
mehr als ein Ausgabemedium z.B. eines Rechners, wie zusdtzliche Bildschirme 
des Rechners Oder eine Netzwerkkarte des Rechners zur Verbindung mit weite- 
ren extern angeordneten Rechnern, unterbindbar ist. 

22. P rsonendaten-Archivierungssystem nach ein m der Anspruche 19 bis 21 , 

dadurch g k nnz ichnet, 
da& di Kopierschutzeinrichtungen, Druckausgabeschutzeinrichtungen und/oder 
Ausgabeb schrankungseinrichtungen mittels der Berechtigungsprufeinrichtun- 
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gen (3) durch eine entsprechend positive B rechtigungs- und/oder Authentizi- 
tatserkennung ggf. in einer zugehfirigen PrOfstufe neutralisierbar sind. 

23. Personendaten-Archiviemngssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

daG. die BerechtigungsprOfeinrichtungen (3) ausgelegt sind, Geratekennungen 
von Zugriffsgeraten (12) fur die Handhabung der Speichereinrichtungen (2) in ei- 
ne Prufung zur Berechtigungs- und/oder Authentizitatserkennung ggf. zur Erful- 
lung einer insbesondere ersten PrOfstufe einzubeziehen. 

24. Personendaten-Archivierungssystem nach einem der vorhergehenden Ansprii- 
che, 

dadurch gekennzeichnet, 

daS die persdnlichen Speichereinrichtungen (2) Kennungen aufweisen, die von 
den BerechtigungsprOfeinrichtungen (3) in eine Prufung zur Berechtigungs- 
und/oder Authentizitatserkennung ggf. zur Erfullung einer insbesondere ersten 
PrOfstufe einbeziehbar sind. 

25. Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

dafi die BerechtigungsprOfeinrichtungen (3) ausgelegt sind, Benutzer- und/oder 
Inhaberidentifikationen von zumindest einem Anwender bzw. dem Inhaber, des- 
sen Daten in den Speichereinrichtungen (2) archiviert sind. in eine PrOfung zur 
Berechtigungs- und/oder Authentizitatserkennung ggf. zur ErfOllung einer insbe- 
sondere zweiten PrOfstufe und ggf. weiterer PrOfstufen zur Freigabe eines Zu- 
griffsauf zumindest einig deraufd n personlichen Speichereinrichtungen (2) 
gespeicherten Personendaten einzubeziehen. 

26. Personendaten-Archivierungssystem nach Anspruch 25. 
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dadurch gekennzeichn t, 

da& die BerechtigungsprQfeinrichtungen (3) ausgelegt sind, eine Anwenderken- 
nung, wie eine Benutzer- bzw. Inhaberidentifikation ilber manuelle und/oder 
elektronische Eingaben, wie beispielsweise von einer Berechtigungskarte (1 3), 
durchzufQhren. 

27. Personendaten-Archivierungssystem nach einem der vorhergehenden AnsprQ- 
che, 

dadurch gekennzeichnet, 

dafc durch die BerechtigungsprQfeinrichtungen (3) zugelassene Zugriffe auf den 
Speichereinrichtungen (2) mit den dafur relevanten Daten, wie Geratekennungen 
von Zugriffsgeraten (12) und/oder Benutzer- und/oder Inhaberidentifikationen, 
insbesondere auf den Speichereinrichtungen (2) selbst dokumentierbar sind. 

28. Personendaten-Archivierungssystem nach einem der vorhergehenden AnsprQ- 
che, 

dadurch gekennzeichnet, 

da& personliche Zugriffsgerate (12) vorgesehen sind, mittels denen vom Inhaber, 
dessen Daten in den Speichereinrichtungen (2) archiviert sind, und/oder von 
Anwendern der Speichereinrichtungen (2) in Abhangigkeit von einer insbesonde- 
re entsprechenden Berechtigungs- und/oder Authentizitatserkennung ggf. in ei- 
ner zugehorigen Prufstufe auf zumindest einige der archivierten Daten zum 
Zweck der Information, DatenanderungAerganzung und/oder Weitergabe auch 
Qber Datenfernubertragung zugreifbar ist. 

29. Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch g kennz ichnet, 

daG mobile und/oder stationare Zugriffsgerate (12) vorgeseh n sind, mittels de- 
nen von Anwendern in Abhangigkeit von einer insbesondere entsprechenden 
Berechtigungs- und/oder Authentizitatserkennung ggf. in einer zugehorigen 
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Prufstufe auf zumindest einige der archivierten Daten zum Zweck der Information 
und/oder Datenanderung/-erganzung zugreifbar ist. 

30. Personendaten-Archivierungssystem nach Anspruch 28 Oder 29, 

dadurch gekonnzeichnet, 
daC. die Zugriffsgerate (12) fur einen Schreib- und/oder Lesezugriff zumindest 
auf einige der auf den persBnlichen Speichereinrichtungen (2) gespeicherten 
Personendaten in Abhangigke'rt von einer insbesondere entsprechenden Be- 
rechtigungs- und/oder Authentizitatserkennung ggf. in einer zugeharigen Prufstu- 
fe ausgelegt sind. 

Personendaten-Archivierungssystem nach einem der Ansprtiche 28 bis 30, 

dadurch gekonnzeichnet, 
daC die Zugriffsgerate (12) Geratekennungen aufweisen, die von den Berechti- 
gungsprQfeinrichtungen (3) zur PrOfung einer Berechtigungs- und/oder Authen- 
tizitatserkennung ggf. zur ErfQIIung einer insbesondere ersten Prufstufe erfaBbar 
sind, und daft die Geratekennung vorzugsweise durch eine in zumindest ein Zu- 
griffsgerat ( 1 2) eingebbare Anwenderkennung aktivierbar ist. 

32. Personendaten-Archivierungssystem nach einem der Ansprtiche 28 bis 31, 

dadurch gekennzeichnet 
daG zum Ansteuern der Zugriffsgerate (12) herk6mm!iche Rechnereinrichtungen 
(14) vorgesehen sind. 

Persbnendaten-Archivierungssystem nach einem der Ansprtiche 28 bis 32, 

dadurch gekonnzeichnet, 
daC die Zugriffsgerate (12) entsprechend den Formaten von die Speichereinrich- 
tungen (2) aufnehmenden Dat ntragem Kartenles gerate fur z.B. Magnetstrei- 
f n- oder Chipkart n, Diskettenlaufwerke fOr z.B. magnetische, magn to- 
optische oder optische Disketten, CD-ROM-Laufw rke und/od r Aufnahmen fur 
PCMCIA-Einheiten enthatten. 



« 33. 



30 
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34. Personendaten-Archivierungssystem nach einem der Ansprtiche 28 bis 33, 

dadurch gekennzeichnet, 
da& zumindest zwei Zugriffsgerate (12) zur Zusammenschaltung von entspre- 
s chenden Datentragern (8, 9) der Speichereinrichtungen (2) kombiniert sind und 

diese Zusammenschaltung von den Berechtigungsprufeinrichtungen (3) zum Be- 
rechtigungsnachweis oder ggf. als eine erste Prufstufe erfa&bar ist. 

35. Personendaten-Archivierungssystem nach einem der Anspruche 28 bis 34, 
10 dadurch gekennzeichnet, 

daS die Zugriffsgerate (12) ausgelegt sind, ohne Berechtigungsnachweis Oder 
ggf. in einer ersten Prufstufe Sicherungskopien der transportablen, persGnlichen 
Speichereinrichtungen (2) zu erstellen. 

15 36. Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet 

daB herkemmliche Rechnereinrichtungen (14) als Anzeige- und Ein-/Ausgabeg - 
rate von Daten vorgesehen sind. 

20 

37. Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

dad es zum Speichem und Aufbewahren von Patientendaten, einschlie&lich 
2s schriftlicher und graphischer Unterlagen, beim Inhaber ausgelegt ist. 

38. Personendaten-Archivierungssystem nach den Anspruchen 6 und 37, 

dadurch gek nnz ichn t, 
daSder rst T il (6) d rSpeich reinrichtung n (2) einen Notfalldatenspeicher- 
M b reich enthait, in dem Verwaltungsdaten und di Daten eines Notfallausweises, 

eines Organspendeausweises, Notfalltestaments u.a. d s Inhabers speicherbar 
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sind und auf den in Zugriff zumindest sow it durch di Berechtigungsprufein- 
richtungen (3) frei oder mit nur einer Arzt- oder Rettungsdienstkennung, die vor- 
zugsweise Qber eine spezielle Arzt- oder Rettungsdienstkarte (13) oder eine 
ArzWRettungsdienst-Zugriffsgeratekennung in die BerechtigungsprQfeinrichtun- 
gen (3) eingebbar ist, oder mit nur einer Inhaberkennung freigebbar ist. 

Personendaten-Archivierungssystem nach den AnsprQchen 6 und 37 oder An- 
spruch 38, 

dadurch gekennzeichnet, 

da& der erste Teil (6) der Speichereinrichtungen (2) einen Obersichtsdatenspei- 
cherbereich enthait, in dem eine Auflistung wichtiger anamnestischer Daten, ein- 
schlieRlich einer ggf. erfolgten Verabreichung von Blut oder Blutprodukten und 
eine Dokumentation wichtiger Gesundheits-/Krankheitsdaten f einschliettlich All- 
ergie-, Impf-, R6ntgen- t Schrittmacher-, Diabetiker-, Medikamentendaten u.a. p 
analog einer Srztlichen Patientenkarte speicherbar sind und auf den ein Zugriff 
zumindest soweit durch die Berechtigungsprtifeinrichtungen (3) frei oder einzeln 
oder in Kombination mit einer Arzt- oder Rettungsdienstkennung, die vorzugs- 
weise Qber eine spezielle Arzt- oder Rettungsdienstkarte (13) oder eine Arzt- 
/Rettungsdienst-Zugriffegeratekennung in die BerechtigungsprQfeinrichtungen (3) 
eingebbar ist, mit einer Inhaberkennung und/oder einer Krankenkassenkennung 
freigebbar ist. 

40. Personendaten-Archivierungssystem nach den Ansprtichen 6 und 37 oder An- 
spruch 38 oder 39, 

dadurch gekennzeichnet, 

daB der erste Teil (6) der Speichereinrichtungen (2) einen Behandlungsdaten- 
speicherbereich enthait, in dem ein vorgegebener zeitlicher Rahmen und eine 
vorgeg bene inhaltliche Struktur von Vorsorgeuntersuchungen sowie Untersu- 
chung n im Rahmen der Nachsorge chronischer und/oder bfisartiger Erkrankun- 
gen speicherbar sind und auf den ein Zugriff zumindest soweit durch die Berech- 
tigungsprQfeinrichtungen (3) einzeln oder in Kombination mit einer Arztk nnung, 
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dievorzugsw is Ob reinesp zi lleArztkart (13)oder in Arzt- 
Zugriffsgeratekennung in die BerechtigungsprUfeinrichtungen (3) eingebbar ist, 
mit einer Inhaberkennung und/oder einer Krankenkassenkennung freigebbar ist. 

41 . Personendaten-Archivienjngssystem nach den Ansprtichen 6 und 37 oder einem 
der Anspriiche 38 bis 40, 

dadurch gekennzeichnet, 
dafi der erste Teil (6) der Speichereinrichtungen (2) einen Nachweisdatenspei- 
cherbereich enthdlt, in dem zumindest eine vorgebbare Anzahl und/oder Art von 
Zugriffen auf die Speichereinrichtungen (2) insbesondere einschlieUlich der je- 
weils erfolgten vorzugsweise individuellen Berechtigungs- und/oder Authentizi- 
tatserkennung und vorgenommenen Zugriffsart im einzelnen speicherbar ist und 
auf den ein Zugriff zumindest soweit durch die BerechtigungsprUfeinrichtungen 
(3) einzeln oder in Kombination mit einer Arztkennung, die vorzugsweise uber 
eine spezielle Arztkarte (13) oder eine Arzt-Zugriffsgeratekennung in die Berech- 
tigungsprUfeinrichtungen (3) eingebbar ist, mit einer Inhaberkennung und/oder 
einer Krankenkassenkennung freigebbar ist. 

42. Personendaten-Archivierungssystem nach den Anspruchen 6 und 37 oder einem 
der Anspriiche 38 bis 41 , 

dadurch gekennzeichnet, 
dad der zweite Teil (7) der Speichereinrichtungen (2) einen Dokumentationsbe- 
reich enthait, in dem alle Originalunterlagen von Arztberichten, Zeugnissen, 
Rontgen-, Ultraschall-. Computertomographjeabbildungen usw., Biosignale, wie 
EKG- und EEG-Daten etc., direkt oder als Graphiken u.a. speicherbar sind und 
auf den ein Zugriff zumindest soweit durch die BerechtigungsprUfeinrichtungen 
(3) einzeln oder in Kombination mit einer Arztkennung, die vorzugsweise uber 
eine spezielle Arztkarte (13) oder eine Arzt-Zugriffsgeratekennung in die Berech- 
tigungsprUfeinrichtungen (3) eingebbar ist, mit einer Inhaberkennung und/oder 
einer Krankenkassenkennung freigebbar ist. 
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43. Personendaten-Archivierungssystem nach d n Anspruch n 6 und 37 oder einem 

der Anspruche 38 bis 42, 

dadurch gekennzeichnet, 

daft der zweite Teil (7) der Speichereinrichtungen (2) einen Nachweisdatenspei- 
5 cherbereich enthalt, in dem zumindest eine vorgebbare Anzahl und/oder Art von 

Zugriffen oder alle Zugriffe auf die Speichereinrichtungen (2) insbesondere ein- 
schlieBlich der jeweils erfolgten vorzugsweise individuellen Berechtigungs- 
und/oder Authentizitatserkennung und vorgenommenen Zugriffsart im einzelnen 
speicherbar ist und auf den ein Zugriff zumindest soweit durch die Berechti- 
io gungsprtlfeinrichtungen (3) einzeln oder in Kombination mit einer Arztkennung, 

die vorzugsweise Qber eine spezielle Arztkarte (13) oder eine Arzt- 
Zugriffsgeratekennung in die BerechtigungsprQfeinrichtungen (3) eingebbar ist, 
mit einer Inhaberkennung und/oder einer Krankenkassenkennung freigebbar ist. 

,» 44. Personendaten-Archivierungssystem nach den Anspriichen 41 und 43, 

dadurch gekennzeichnet, 
daB der Nachweisdatenspeicherbereich im ersten Teil (6) der Speichereinrich- 
tungen (2) schieberegisterartig aufgebaut ist, so daB sein altester Inhalt zur ins- 
besondere endgultigen Abspeicherung in den Nachweisdatenspeicherbereich 

M des zweiten Teils (7) der Speichereinrichtungen (2) zur Platzschaffung fQr einen 

Neueintrag im Nachweisdatenspeicherbereich im ersten Teil (6) der Spei- 
chereinrichtungen (2) Platz verschiebbar ist. 

45. Personendaten-Archivierungssystem nach einem der vorhergehenden Ansprii- 
25 che, 

dadurch gekennzeichnet, 

daB die Speichereinrichtungen (2) ganz oder teilweise Bestandteil einer Kran- 
kenversicherungskarte, eines Personalausweises oder einer Kontokarte sind. 

* 46. Personendaten-Archivierungssystem nach ein m der vorhergehenden AnsprQ- 
che, 
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dadurch g kennzeichn t, 

da& mittels den Berechtigungsprtifeinrichtungen (3) ein insbesondere turnus- 
mafiiger Kennungswechsel einer Anwender- und/oder Geratekennung zur Be- 
rechtigungs- und/oder Authentizitatserkennung beriicksichtigbar ist 

47. Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

daS mittels den BerechtigungsprOfeinrichtungen (3) eine Authentizitats- und/oder 
BerechtigungsprQfung von Anwender, Zugriffsgeraten (12) und/oder Spei- 
chereinrichtungen (2) fQr einen beabsichtigten ZugrifF durchfuhrbar ist. 

48. Personendaten-Archivierungssystem nach einem der vorhergehenden Anspru- 
che, 

dadurch gekennzeichnet, 

daft die Speichereinrichtungeh (2) eine Mehrzahl von Bereichen enthaiten, de- 
nen unterschiedliche Zugriffssicherungen, wie Passwdrter, PINs, Berechtigungs- 
karten (13) o.a. zuordenbar sind. 

49. Personendaten-Archivierungssystem nach einem der vorhergehenden AnsprO- 
che, 

dadurch gekennzeichnet, 

daft Schreibzugriffe auf die Speichereinrichtungen (2) dort nur nach Eingabe ei- 
ner Signatur zusammen mit dieser abspeicherbar sind, und daft letztere vor- 
zugsweise durch eine Anwender- und/oder Zugriffsgeratekennung insbesondere 
automatisch erzeugbar ist. 
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o Prozessor-Chipkarte 

o Notfallkarte: 

o Personliche Angaben 
O Im Notfall zu verstandigen 
O Behandelnde Arzte 
O Unbedingt beachten 
O Blutgruppe 
O Organspendeausweis 
o Patiententestament 

o Patientenkarte: 

O Anamnese-Datensatz 
O Diagnostik-Datensatz 
O Labor-Datensatz 
O Ausweise 
o Dauerdiagnosen 
O Dauenmedikation 
o Vorsorge-Datensatz 
O Nachsorgedatensatz 
O Datensatz fur 

Gesundheitsprogramme 



o Datenspeicher 

O Texts 

O Bilder 

O Biosignale 

O Labordaten 

O Dokumentation und 
Planung von 

Vorsorgeuntersuchungen, 
Nachsorge von 
chronischen Krankheiten 
oder Tumorleiden 

o Gesundheitsprogramme 



O Software 



Figur 2a 
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Prozessor-Chipkart 




Angaben zur Person: 

Name, Vorname, Geburtsdatum, 
Postleitzahl, Wohnort, StraBe, Te- 
lef on (Keine Angaben zur Kranken- 
* versicherung, KV-Nr. o.&.) j 



r 



Im Notfall verstandigen: 

Name, Vorname, Postleitzahl, 
Wohnort, StraBe, Telefon(Hinweis 
auf ggf . zusatzliche und alternative 
Personen) 



Behandelnde Arzte: 

Name, Vorname, Praxisadresse: 
Postleitzah!, Wohnort, StraBe, 
Telefon, Fachrichtung (Hinweis auf 
ggf . zusatzliche Arzte) 



Unbedingt beachten: 

Fur die Notfallversorgung wichti- 
ge Erkrankungen Oder Anomali- 
en, z.B. Unvertraglichkeit bzw. 
Allergie auf Medikamente (Medi- 
kamentenname, intemationale 
Kurzbezeichnung der Wirksub- 
stanz, Art der Reaktion), er- 
schwerte Intubation, Narkose- 
zwischenfaile, Cerebrates 
Krampfleiden, Diabetes mellitus, 
Marcumartherapie, Niereninsuf- 
fizienz, Diatysebehandlung, 
Glaukom, Kontaktlinsen, kOnstli- 
ches Auge, Herzschrittmacher, 
Situs inversus, Cholin sterase- 
mangel, Porphyri , Haemophi- 
He, Sonstiges 




Blutgruppe, Rh susfaktor: 

Blutgruppe (A, B, 0), Rhesusfaktor 
Rh-pos (D+)/Rh-neg (D-)), Antik6r- 
per 



Organspendeausweis: 

Ich bin Organspender fur Trans- 
plantationen: ja/nein 
lm Falle meines Todes bitte Nach- 
richt geben an: Adresse, Telefon 



Patiententestament: 

Ich bestimme fur den Falle einer 
schweren Erkrankung oder ei- 
nes schweren Unfalls als Aus- 
druck meines Willens fur meine 
Familie und meine Arzte folgen- 
desi 

Kiinstliche LghftPfypriangerunQ: 
Ich verfuge hiermit, daB mein 
Leben ... 

Ort, Datum, Signatur 
RfitreuungsverfuounQ: 
Folgende Personen sind be- 
rechtigt, von den behandelnden 
Arzten detaillierte Auskunfte 
Qber meinen Gesundheitszu- 
stand sowie Qber diagnostische 
und therapeutische MaBnamen 
einzuholen. Fur diesen Perso- 
nenkreis entbinde ich die be- 
handelnden Arzte ausdrucklich 
von ihrer Schweigepflicht: 
Name, Adresse, Telefon 
Ich ermSchtige fur den Fall, daB 
ich nicht ansprechbar oder nicht 
zurechnungsfahig bin, folgende 
Personen fur mich im Sinne des 
Betreuungsgesetzes und im 
Einklang mit meinem Patienten- 
testament zu handeln und die 
Einwilligung zu medizinisch not- 
wendigen MaBnamen und Ein- 
griffen zu geben oder zu verwei- 
gem: Name, Adresse, Telefon 



Ort, Datum, Unterschrift 



Figur 2b 
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Prozessor-Chipkarte 



Patientenkarte 



Anamnese: 



Jahr/Krankheit bzw. Operation 
ggf. ICD-Schlussel 
Ablage auf digitalen Speicher 
(z.B. auf MD-Data) 




Dauermedikation: 

Nur Medikamente, die uber einen lange- 
ren Zeitraum einzunehmen sind: Han- 
delsname, intemationale Kurzbezeich- 
nung fur den Wirkstoff, verordnete Dosis 
(aus Datenbank des Programms) 



Vorsorgeuntersuchungenc 

Dokumentation uber Vorsorgeuntersu- 
chungen bei Kindern, Schwangeren, 
Krebs-FrOherkennungsuntersuchungen, 
Gesundhettsuntersuchungen (Check-Up) 



Diagnostik: 

Laboruntersuchungen (Datum, unter- 
suchte Substanz mtt Mefteinheit, Er- 
gebnis), Sonographie, R&ntgen, Com- 
pute r-Tomographie, Magnet-Resonan- 
z-Tomographie, Fundus-Photographie, 
EKG, EEG, Spirometrie, Bodyple- 
thysmographie, Sonstiges, Angaben 
der Untersuchung, untersuchte Kdrper- 
region, Ablage auf digitaten Speicher 
(z.B. auf MD-Data) 



Ausweise: 

Impfausweis, Allergieausweis (Allergie 
auf Inhalationsstoffe, Nahrungsmittel, 
Kontaktstoffe und Arzneimittel), Diabeti- 
kerausweis, Blutdruckausweis, Ausweis 
uber eine Antikoagulantienbehandlung 
(Marcumar), Schrittmacher-Ausweis, 
Ausweis uber die Verabreichung von 
Blut und Blutprodukten 



Dauerdiagnose: 

Nur Diagnosen von Krankheiten mit ei- 
nern chronischen oder langwierigen Ver- 
lauf: Diagnosen, ICD-Schlussel (aus Da- 
tenbank der Software) 



Nachsorge Tumorleiderc 

Dokumentation entsprethender arztli- 
cher Nachsorgeprogramme bei malignen 
Geschwulsterkrankungen, Nachsorge- 
programme (aus Datenbank der Soft- 
ware) 



Nachsorge chronische 

Krankheiten: 

Dokumentation entsprechender irztli- 
cher Nachsorgeprogramme bei chroni- 
schen Krankheiten wie Hypertonic Oder 
Diabetes metlitus, Nachsorgeprogram- 
me (aus Datenbank der Software) 



Allgemeine 

Gesundheitsprogramme: 

Eine Reihe von Programmen (aus Da- 
tenbank der Software), die insgesamt 
geeignet sind, die Gesundheit zu erhal- 
ten: z.B. Diatprogramme fur Adipdse, 
Nichtraucherprogramme, spezielle 
Gymnastikprogramme oder Lempro- 
gramme fur Diabetiker usw. 



Figur 2c 
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